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《精通 比特 币 》 第 二 版 


来 源 : tianmingyun/MasterBitcoin2CN 
PR Pia : 比特 币 白 给 我 都 不 要 
巴菲特 : 比特 币 是 泡沫 ， 不 是 一 种 能 够 生产 价值 的 资产 
紫色 的 股 : 为 什么 说 比特 币 是 典型 的 泡沫 
也 有 人 说 ， 区 块 链 是 最 伟大 的 发 明 ， 堪 比 互联 网 。 
到 底 比 特 币 是 什么 ? 如 何 判断 ? 难道 我 们 能 做 的 就 是 人 云 亦 云 ? 
如 何 能 有 自己 的 独立 判断 ? 


每 个 人 都 有 自己 的 “全 知人 这 项 "， 就 像 每 个 人 都 看 不 见 自己 的 后 脑 勺 一 样 。 在 自己 的 视野 内 ， 在 
自己 的 舒适 区 ， 如 鱼 得 水 ， 但 是 就 是 这 种 感觉 最 容易 让 自己 以 为 “自己 以 为 的 ?就 是 客观 事实 。 


正确 的 态度 是 研究 摘 懂 ， 之 后 才 有 资格 做 判断 。 

这 本 书 就 能 帮助 您 全 面 了 解 比特 币 ， 而 且 有 助 于 理解 其 他 数字 货币 。 

本 书 翻 译 过 程 中 得 到 了 higer〈 区 块 链 研究 社 社 长 ) 的 支持 和 鼓励 ， 特 此 致谢 。 

本 书 部 分 段落 内 容 参 考 摘录 了 《精通 比特 币 》 知 笔墨 版 本 ， 在 此 特别 声明 并 致谢 。 


本 书 附 录 1 比 特 币 白皮书 全 文摘 自己 比特 《比特 币 和 白皮书 : 一 种 点 对 点 的 电子 现金 系统 》， 在 
此 特别 声明 并 致谢 。 


以 下 朋友 对 本 书 做 出 巨大 贡献 : 


菜 菜 子 : 翻译 了 英文 版 序言 ， 第 二 版 更 新 说 明 ， 词 汇 表 ， 附 录 2 交 易 脚 本 语言 操作 符 ， 常 量 和 
符号 等 章节 


KAR AOE MED: 联合 翻译 附录 隔离 见证 部 分 


Robbie 英语 翻译 : 第 4 章 审 核 校对 


格林 怪物 : 第 6 章 审核 校对 
阿 龙 : 第 7 章 ， 第 11 章 审核 校对 


耽 立 志和 冯 锦 炜 : 第 10 章 审核 校对 


琳 : 第 12 章 审核 校对 
黄豆 : 封面 封底 屏 页 以 及 其 他 内 容 设计 


由 于 时 间 原 因 和 个 人 水 平 能 力 原因 ， 初 稿 中 有 许多 格式 和 理解 翻译 错误 。 以 上 各 位 朋友 在 审 
核 校 过 程 中 修正 了 初稿 中 许多 错误 ， 甚 至 部 分 章节 兼职 了 翻译 工作 ， 在 此 表示 致 艰 和 感谢 。 


即便 如 此 ， 当 前 版 本 还 可 能 存在 部 分 错误 ， 欢 迎 读 者 在 github 上 提交 勘误 ， 也 可 以 发 至 邮箱 : 
yuntianming@aliyun.com 
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licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 
International License. 


It is expected that the second edition will be released under a CC-BY-SA license within a 
year of publication. 


1.1 什 么 是 比特 币 ? 


比特 币 是 构成 数字 货币 生态 系统 基础 的 概念 和 技术 的 集合 。 称 为 比特 币 的 货币 单位 用 于 存储 
和 传输 比特 币 网 络 中 的 参与 者 之 间 的 价值 。 比 特 币 用 户主 要 通过 互联 网 使 用 比特 币 协议 进行 
通信 ， 尽 管 也 可 以 使 用 其 他 传输 网 络 。 可 用 作 开 源 软 件 的 比特 币 协议 栈 可 以 在 各 种 计算 设备 
(包括 笔记 本 电脑 和 智能 手机 ) 上 运行 ， 从 而 使 该 技术 易于 访问 。 


用 户 可 以 通过 网 络 传输 比特 币 ， 就 像 常规 货币 一 样 方便 操作 即 可 完成 任何 事情 ， 包 括 买卖 商 
品 ， 汇 款 给 别人 或 组 织 ， 或 者 扩大 人 信用。 比特 币 可 以 以 专门 的 货币 兑换 方式 购买 ， 出 售 和 竞 
换 其 他 货币 。 比 特 币 在 某 种 意义 上 是 网 络 的 完美 形式 ， 因 为 它 是 快速 ， 安 全 和 无 地 域 边界 
的 。 


与 传统 货币 不 同 ， 比 特 币 完全 是 虚拟 的 。 没 有 物理 硬币 ， 甚 至 数字 货币 本 身 。 这 种 币 隐 侈 在 
从 发 送 方 到 收 件 人 转移 价值 的 交易 中 。 比特 币 用 户 有 自己 的 密 铀 ， 允 许 他 们 证 明 比 特 币 网 络 
中 的 比特 币 的 所 有 权 。 使 用 这 些 密 钥 ， 他 们 可 以 签署 交易 以 解锁 价值 ， 并 将 其 转移 给 新 的 所 
有 者 实现 消费 。 铀 是 通常 存储 在 每 个 用 户 的 计算 机 或 智能 手机 上 的 数字 钱包 中 。 拥 有 可 以 答 
署 交易 的 密 钥 是 消费 比特 币 的 唯一 先决 条 件 ， 通 过 密 钥 实现 每 个 用 户 的 完全 控制 。 


比特 币 是 分 布 式 的 对 等 系统 。 因 此 ， 没 有 “中 央 ?" 服 务 器 或 控制 点 。 比 特 币 是 通过 称 为 “挖掘 "的 
过 程 创 建 的 ， 该 过 程 涉及 到 在 处 理 比 特 币 交易 时 竞争 寻找 数学 问题 的 解决 方案 。 比 特 币 网 络 
中 的 任何 参与 者 〈 即 ， 使 用 运行 完整 比特 币 协议 栈 的 设备 的 任何 人 ) 可 以 作为 矿工 使 用 其 计 
算 机 的 处 理 能 力 来 验证 和 记录 交易 。 平 均 每 10 分 钟 ， 有 人 可 以 验证 过 去 10 分 钟 的 交易 ， 并 获 
得 全 新 的 比特 币 奖励 。 基 本 上 ， 比 特 币 采矿 分 散 了 中 央 银 行 的 货币 发 行 和 结算 功能 ， 取 代 了 
任何 中 央 银 行 的 需求 。 


比特 币 协议 包括 内 置 的 算法 ， 用 于 调整 整个 网 络 的 采矿 功能 。 平 均 而 言 ， 任 何 时 候 ， 无 论 多 
少 矿工 (以 及 多 大 处 理 能 力 ) 参与 竞争 ， 矿 工 必 须 执行 的 处 理 任务 难度 实现 动态 调整 ， 保 证 
每 10 分 钟 就 可 以 挖 矿 成 功 。 该 协议 还 将 每 4 年 发 行 新 比特 币 的 比例 降低 一 半 ， 并 将 将 发 行 的 比 
特 币 的 总 数 限 制 在 低 于 2100 万 硬币 的 国定 总 量 。 结 果 是 ， 流 通 中 的 比特 币 数量 紧 随 其 后 的 一 
个 容易 预测 的 曲线 ， 到 2140 年 将 达到 2100 万 。 由 于 比特 币 的 发 行 率 下 降 ， 长 期 来 看 ， 比 特 币 
货币 是 通货 紧缩 。 此 外 ， 比 特 币 不 能 通过 “打印 "超过 预期 发 行 率 的 新 货币 来 膨胀 。 


换 名 话说 ， 比 特 币 (bitcoin) 也 是 协议 ， 对 等 网 络 和 分 布 式 计 算 创 新 的 代名词 。 比 特 币 货币 站 
的 只 是 本 发 明 的 第 一 个 应 用 。 


比特 币 代表 了 数 十 年 密码 学 和 分 布 式 系统 研究 的 高 潮 ， 包 括 四 个 关键 创新 ， 这 四 个 创新 以 独 
特 和 强大 的 组 合 结合 在 一 起 。 


比特 币 这 四 个 创新 包括 : 


e 去 中 心 化 的 对 等 网 络 (比特 币 协议 ) 


。 公共 交易 总 帐 (区 块 链 ) 
。 独立 交易 确认 和 货币 发 行 的 一 套 规则 (ARMM) 
e 实现 有 效 的 区 块 链 全 球 去 中 心 化 共识 的 机 制 (工作 量 证 明 算法 ) 


作为 一 名 开发 人 员 ， 我 将 比特 币 视 为 货币 互联 网 ， 通 过 分 布 式 计算 传播 价值 和 确保 数字 资产 
所 有 权 的 网 络 。 比 特 币 还 有 很 多 比 起 第 一 眼看 到 的 更 多 的 内 容 。 在 本 章 中 ， 我 们 将 介绍 一 些 
主要 的 概念 和 术语 ， 获 得 必要 的 软件 ， 并 使 用 比特 币 进 行 简单 的 交易 。 在 接 下 来 的 章节 中 ， 
我 们 将 开始 展开 使 比特 币 成 为 可 能 的 技术 层次 ， 并 检查 比特 币 网 络 和 协议 的 内 部 工作 。 


比特 币 之 前 的 数字 货币 可 行 的 数字 货币 的 出 现 与 密码 学 的 发 展 密切 相关 。 贤 正 的 挑战 是 当 使 
用 比特 来 代表 可 以 交换 商品 和 服务 的 价值 却 不 以 为 奇 。 接 受 数字 金钱 的 人 的 三 个 基本 问题 


a 


是 : 

我 可 以 相信 和 钱 是 丨 实 的 ， 不 是 假 的 吗 ? 

我 可 以 相信 数字 金钱 只 能 花 一 次 (被 称 为 “双重 支付 ") 吗 ? 
我 可 以 确定 没有 人 能 够 声称 这 笔 钱 属于 他 们 而 不 是 我 吗 ? 


纸币 发 行商 通过 使 用 越 来 越 复杂 的 纸张 和 印刷 技术 不 断 打击 假冒 问题 。 物 理 钱 容易 解决 双重 
支付 问题 ， 因 为 同一 纸币 不 能 同时 在 两 个 地 方 。 当 然 ， 传 统 的 钱 也 经 常 以 数字 方式 存储 和 传 
送 。 在 这 些 情况 下 ， 假 冒 和 双重 支出 问题 是 通过 中 央 权 威 机 构 清算 所 有 电子 交易 来 处 理 的， 
中 央 权 威 机 构 拥 有 面向 全 球 的 货币 视角 。 对 于 不 能 利用 深奥 油墨 技术 或 全 息 条 码 的 数字 货 

币 ， 蜜 码 术 为 信任 用 户 对 价值 权利 的 合法 性 提供 了 依据 。 具 体 来 说 ， 加 密 数 字 签 名 使 用 户 能 
够 签署 数字 资产 或 证 明 该 资产 所 有 权 的 交易 。 通 过 适当 的 架构 ， 数 字 签名 也 可 用 于 解决 双重 
支出 问题 。 


当 加 审 开 始 在 20 世 纪 80 年 代 末 开始 变 得 更 广泛 的 可 用 性 和 理解 时 ， 许 多 研究 人 员 开 始 尝试 使 
用 加 密 技 术 构 建 数字 货币 。 这 些 早期 的 数字 货币 项 目 发 行 数字 货币 ， 通 常 由 国家 货币 或 贵 金 
By (如 黄金 ) 支持 。 


虽然 这 些 早期 的 数字 货币 是 有 效 的 ， 但 它们 是 集中 的 ， 因 此 很 容易 被 政府 和 黑客 攻击 。 早 期 
的 数字 货币 使 用 中 心 化 的 票据 交易 所 定期 进行 所 有 交易 ， 就 像 传统 的 银行 系统 一 样 。 不 幸 的 
是 ， 在 大 多 数 情况 下 ， 这 些 新 兴 的 数字 货币 是 政府 担忧 的 目标 ， 最 终 从 法 律 上 逐渐 消失 了 。 
还 有 些 由 于 当 母 公司 突然 清盘 就 失败 了 。 无 论 是 合法 的 政府 还 是 犯罪 分 子 ， 都 需要 去 中 心 化 
的 数字 货币 来 避免 单一 的 攻击 避免 对 抗 者 的 干预 。 比 特 币 就 是 一 种 这 样 一 个 系统 ， 通 过 设计 
实现 去 中 心 化 ， 并 且 不 受制 于 任何 可 能 被 攻击 或 损坏 的 中 央 权 威 或 控制 点 。 


1.2 比 特 币 历史 


Bitcoin  # 2008-F 4 £ Satoshi Nakamoto 的 牛人 发 明 的 ， 他 出 版 了 一 篇 题 为 “Bitcoin : A 
Peer-to-Peer Electronic Cash System" 45 x [1] » Nakamoto 结 合 了 诸如 b-money 和 
HashCash 等 先前 的 发 明 ， 创 建 了 一 个 完全 去 中 心 化 的 电子 现金 系统 ， 它 不 依赖 中 央 机 构 进 行 
货币 发 行 或 结算 和 验证 交易 。 关 键 的 创新 是 使 用 分 布 式 计算 系统 ( 称 为 "工作 量 证 明 "算法 ) 每 
10 分 钟 进行 一 次 全 球 性 的 “选举 "， 从 而 允许 分 布 式 网 络 达成 关于 交易 状态 的 共识 。 这 优雅 地 解 
决 了 双重 支出 的 问题 ， 就 是 一 个 货币 单位 可 以 花费 两 次 。 以 前 ， 双 重 支出 问题 是 数字 货币 的 
弱点 ， 并 通过 中 心 化 的 票据 交换 所 清算 所 有 交易 来 解决 。 


比特 币 网 络 始 于 2009 年 ， 基 于 中 本 聪 发 布 的 参考 实施 指南 ， 之 后 由 许多 其 他 程序 员 进 行 修 
订 。 为 比特 币 提供 安全 性 和 弹性 的 工作 量 证 明 算 法 (挖掘 ) 的 实施 以 指数 级 增长 ， 现 在 超过 
了 世界 顶级 超级 计算 机 的 组 合 处 理 能 力 。 比 特 币 的 总 市 值 有 时 超过 200 亿 美元 ， 这 取决 于 比特 
币 竞 美元 的 汇率 。 到 目前 为 止 ， 网 络 处 理 最 大 的 交易 是 1.5 亿 美元 ， 即 时 传输 ， 无 需 任何 费用 
处 理 。 


Satoshi Nakamoto 于 2011 年 4 月 退出 公众 视线 ， 将 代码 和 网 络 的 责任 放 在 一 个 莹 勃发 展 的 志愿 
者 小 组 身上 。 比 特 币 背后 的 这 个 人 身份 仍然 未 知 。 然 而 ， 中 本 聪 和 任何 人 都 没有 对 比特 币 系 
统 进 行 个 人 控制 ， 这 个 系统 基于 完全 透明 的 数学 原理 ， 开 放 源 代码 和 参与 者 之 间 的 共识 持续 
运行 。 本 发 明 本 身 具 有 开创 性 ， 已 经 延伸 到 分 布 式 计算 ， 经 济 学 和 计量 经 济 学 领域 。 


分 布 式 计算 问题 的 解决 方案 Satoshi Nakamoto 的 发 明 也 是 分 布 式 计 算 当 中 一 个 古老 问题 的 实 
用 和 新 阁 的 解决 方案 ， 这 就 是 “拜占庭 式 将 军 " 问 题 。 简 而 言 之 ， 这 个 问题 包括 通过 在 不 可 靠 
和 潜在 的 妥协 网 络 上 交换 信息 来 党 试 商定 一 个 行动 方案 或 一 个 系统 的 状态 。 Satoshi 
Nakamoto 的 解决 方案 使 用 工作 量 证 明 的 概念 在 没有 中 央 信 任 机 构 的 情况 下 实现 共识 ， 代 表 了 
分 布 式 计 算 的 突破 ， 并 具有 超越 货币 的 广泛 适用 性 。 可 以 用 来 达成 一 致 的 分 权 网 络 ， 比 如 彩 
票 ， 资 产 登 记 ， 数 字 公证 等 等 以 证 明 选 举 的 公平 性 。 


1.3 比 特 币 使 用 ， 用 户 和 他 们 的 故事 


比特 币 是 古老 的 技术 “ 钱 "的 创新 。 其 核心 在 于 钱 方便 了 人 与 人 之 间 的 价值 交流 。 因 此 ， 为 了 充 
分 了 解 比特 币 及 其 用 途 ， 我 们 将 从 使 用 它 的 人 的 角度 审视 它 。 这 里 列 出 的 每 个 人 和 他 们 的 故 
事 都 说 明了 一 个 或 多 个 具体 的 用 例 。 我 们 将 在 整 本 书 中 看 到 他 们 : 


北美 低 价值 零售 业 Alice 住 在 北 加 州 湾 区 。 她 听 她 的 从 事 技术 工作 的 朋友 说 过 比特 币 ， 因 此 想 
要 开始 使 用 它 。 我 们 将 跟随 她 的 故事 ， 在 她 学 习 比 特 币 ， 购 买 一 些 ， 然 后 花费 一 些 她 的 比特 
币 在 帕 洛 阿尔 托 的 Bob 咖 啡 厅 买 一 杯 咖啡 时 。 这 个 故事 将 从 零 信 消费 者 的 角度 向 我 们 介绍 软 
件 ， 交 易 所 和 基本 交易 。 


北美 高 附加 值 零 售 Carol 是 昌 金 山 的 艺术 画廊 老板 。 她 卖 兄 贵 的 绘画 换取 比特 币 。 这 个 故事 将 
介绍 高 价值 物品 零售 商 “51%" 共 识 攻 击 的 风险 。 


离 岸 合同 服务 Bob， 帕 洛 阿尔 托 的 咖啡 店 老板 ， 正 在 建立 一 个 新 的 网 站 。 他 与 印度 的 网 络 开发 
商 Gopesh 签 约 ， 后 者 在 印度 班加罗尔 居住 。 Gopesh 同 意 在 比特 币 中 支付 。 这 个 故事 将 研究 
使 用 比特 币 进行 外 包 ， 合 同 服务 和 国际 电汇 。 


网 上 商店 Gabriel 是 里 约 热 内 卢 的 一 个 有 进取 心 的 年 轻 青少年 ， 经 营 着 一 家 小 型 网 店 ， 销 售 比 
特 币 品牌 的 TT 性， 咖啡 杯 和 贴纸 。Gabriel 太 年 轻 没有 银行 账户 ， 但 他 的 父母 鼓励 他 的 企业 精 
神 。 


把 普 捐 款 Eugenia 是 菲律宾 儿童 锻 普 机 构 的 主任 。 最 近 她 已 经 发 现 了 上 比特 币 ， 并 希望 利用 它 来 
接触 新 的 国内 外 捐助 者 ， 为 她 的 蓄 善 筹 款 。 她 还 在 调查 使 用 比特 币 快速 将 资金 分 配给 需要 的 
地 区 的 方法 。 这 个 故事 将 展示 使 用 比特 币 来 跨 币 种 和 跨国 界 的 全 球 筹 款 活 动 ， 以 及 在 站 善 组 
织 中 使 用 开放 透明 的 分 类 账簿 。 


进出 口 Mohammed 是 迪拜 的 电子 进口 商 。 他 正在 尝试 使 用 比特 币 从 美国 和 中 国 购买 电子 产 
品 ， 进 口 到 阿 联 疯 ， 以 加 速 进口 付款 过 程 。 这 个 故事 将 展示 如 何 将 比特 币 用 于 与 物理 商品 相 
关 的 大 型 企业 之 间 的 国际 支付 。 


采矿 为 比特 币 Jing 是 上 海 的 计算 机 工程 专业 学 生 。 他 已 经 使 用 他 的 工程 技术 来 建立 一 个 “ 采 
矿 " 矿 机 来 挖掘 比特 币 来 增加 他 的 收入 。 这 个 故事 将 研究 比特 币 的 “工业 "基础 : 用 于 确保 比特 
币 网 络 和 发 行 新 货币 的 专门 设备 。 


这 些 故事 中 的 每 一 个 都 是 基于 目前 使 用 比特 币 的 真实 人 物 和 实际 行业 ， 为 全 球 经 济 问题 创造 
新 的 市 场 ， 新 的 行业 和 创新 的 解决 方案 。 


1.4 入 门 


比特 币 是 使 用 同样 协议 的 客户 端 应 用 程序 访问 的 协议 。 “比特 币 钱包 ?是 比特 币 系统 最 常见 的 
用 户 界 面 ， 就 像 Web 浏 览 器 是 HTTP 协 议 最 常用 的 用 户 界面 一 样 。 有 很 多 实施 和 品牌 的 比特 币 

钱包 ， 就 像 有 许多 品牌 的 网 络 浏览 器 〈 例 如 ，Chrome，Safari，Firefox 和 Internet 

Explorer) 。 就 像 我 们 都 有 我 们 最 喜欢 的 浏览 器 (Mozilla Firefox > Yay! ) 和 我 们 不 喜欢 的 
(Internet Explorer > Yuck! ) ， 比 特 币 钱包 的 质量 ， 性 能 ， 安 全 性 ， 隐 私 和 可 靠 性 各 不 相 
同 。 还 有 一 个 比特 币 协议 的 参考 实现 ， 其 包括 被 称 为 “Satoshi 客 户 端 ? 或 "比特 币 核心 "的 钱包 ， 

该 钱包 源 于 由 Satoshi Nakamoto 撰 写 的 初始 客户 端 。 


1.4.1 选 择 比 特 币 钱包 


比特 币 钱包 是 比特 币 生态 系统 中 最 活跃 的 开发 的 应 用 之 一 。 这 里 竞争 激烈 ， 目 前 存在 可 能 正 
在 开发 新 的 钱包 ， 但 也 有 去 年 的 几 个 钱包 已 不 再 积极 维护 。 许 多 钱包 专注 于 特定 的 平台 或 具 
体 用 途 ， 一 些 更 适合 初学 者 ， 而 其 他 的 钱包 则 为 高 级 用 户 提供 了 功能 。 选 择 钱包 是 非常 主观 
的 ， 取 决 于 使 用 和 用 户 的 专业 知识 。 因 此 ， 不 可 能 推荐 一 个 特定 的 钱包 品牌 或 项 目 。 然 而 ， 


我 们 可 以 根据 其 平台 和 功能 对 比特 币 钱包 进行 分 类 ， 并 提供 所 有 不 同类 型 的 钱包 的 一 些 建 
议 。 更 好 的 是 ， 在 比特 币 钱包 之 间 移 动 钱 是 容易 ， 便 宜 和 快速 的 ， 所 以 值得 尝试 几 种 不 同 的 
钱包 ， 直 到 找到 符合 您 需求 的 钱包 


根据 平台 ， 比 特 币 钱包 可 以 分 类 如 下 : 


a ， 许 多 用 户 运 行 桌 面 钱包 
以 实现 其 功能 ， 自 主 性 和 控制 权 。 在 通用 操作 系统 (如 Windows 和 Mac OS) 上 运行 具有 一 定 
的 安全 隐患 ， 因 为 这 > 配置 不 当 。 


手机 钱包 手机 钱包 是 比特 币 钱 常见 的 类 型 。 在 智能 手机 操作 系统 (如 Apple iOS 和 
Android) 上 运行 ，i DUAE Vind pU 先 择 。 许 多 都 是 为 了 简单 易 用 而 设计 的 ， 但 
也 有 功能 强大 的 用 户 的 全 功能 移动 钱包 。 


在 线 钱包 VWeb 钱 包 通 过 网 络 浏览 器 访问 ， 并 将 用 户 的 钱包 存储 在 由 第 三 方 拥有 的 服务 器 上 。 
这 类 似 于 webmail > o dul Uu cie 
的 客户 端 代码 进行 全 作 ， 该 代码 可 以 控制 用 户 手 中 的 比特 币 密 钥 。 然 而 ， 大 多 数 人 需要 在 安 


全 和 方便 性 之 间 进 行 妥协 。 在 第 三 方 系统 上 存储 大 量 的 比特 币 是 不 合适 的 。 

硬件 钱包 硬件 钱包 是 在 专用 硬件 上 独立 操作 比特 币 钱 包 的 设备 。 它 们 通过 USB 与 束 面 网 络 浏 
览 器 或 通过 移动 设备 上 的 近 场 通信 (NFC) 进行 操作 。 通 过 专用 硬件 进行 所 有 比特 币 相 关 操 
作 ， 这 些 钱包 被 认为 是 非常 安全 的 ， 适 合 存储 大 量 的 比特 币 。 

纸钱 包 控制 比特 币 的 密 钥 也 可 以 打印 长 期 存储 。 即 使 可 以 使 用 其 他 材料 (KM? SAF) > 


这 些 也 à: 。 纸 钱包 提供 低 技 术 但 高 度 安 全 的 长 期 存储 比特 币 的 方法 。 脱 机 存储 也 
经 常 被 称 为 冷 存储 。 


对 比特 币 钱包 分 类 的 另 一 种 方法 是 通过 他 们 的 自主 程度 以 及 它们 如 何 与 比特 币 网 络 进 
交互 : 


全 节点 客户 端 完整 客户 端 或 “完整 节点 "是 存储 比特 币 交 易 的 全 部 历史 (每 个 用 户 每 次 交易 ) 的 
客户 端 ， 管 理 用 户 的 钱包 ， 并 且 可 以 直接 在 比特 币 网 络 上 局 动 交易 。 完 整 节点 处 理 协议 的 所 
有 方面 ， 并 可 以 独立 地 验证 整个 区 块 链 和 任何 交易 。 全 节点 客户 端 消耗 大 量 计算 机 资源 〈 例 
如 ， 超 过 125 GB 的 磁盘 ，2 GB 的 RAM ) ， 但 提供 完全 自主 和 独立 的 交易 验证 。 


轻 量 级 客户 端 一 个 轻 量 级 的 客户 端 ， 也 称 为 简单 支付 验证 (SPV) 客户 端 ， 连 接 到 比特 币 完 
整 节点 (前面 提 到 过 的 ) ， 用 于 访问 比特 币 交 易 信 息 ， 但 是 在 本 地 存储 用 户 钱包 ， 并 独立 地 
创建 ， 验 证 和 传输 交易 。 轻 量 级 客户 端 与 比特 币 网 络 直接 交互 ， 无 需 中 介 。 


第 三 方 API 客 户 端 第 三 方 API 客 户 端 是 通过 应 用 程序 编程 接口 (API 的 第 三 方 系统 与 比特 币 交 
ZAPIZ P DECRE ER T 这 时 钱包 可 能 由 用 户 或 第 三 方 服务 器 存储 ， 
但 所 有 交易 都 需要 通过 第 三 方 。 


合 这 些 分 类 ， 上 比特 币 钱 包 可 以 分 为 几 个 小 组 ， 三 个 最 常见 的 划分 是 桌面 全 客户 端 ， 移动 轻 
TRUPRARASRA 。 不同 类别 之 间 的 界限 通常 是 模糊 的 ， 许 多 钱包 在 多 个 平台 上 运 


于 ， 并 且 可 以 以 不 同 的 方式 与 网 络 进行 交互 。 


为 了 本 书 的 目的 ， 我 们 将 演示 使 用 各 种 可 下 载 的 比特 币 客 户 端 ， 从 参考 实现 (Bitcoin Core) 
到 移动 和 网 络 钱包 。 一 些 示 例 将 需要 使 用 Bitcoin Core， 除 了 作为 完整 的 客户 端 ， 还 可 以 将 

API 暴 露 给 钱包 ， 网 络 和 交易 服务 。 如 果 您 计划 探索 比特 币 系统 中 的 编程 接口 ， 则 需要 运行 
Bitcoin Core 或 其 他 客户 端 (参见 [alt_libraries]) ° 


1.4.2 快 速 开始 


我 们 在 比特 币 使 用 ， 用 户 和 他 们 的 故事 中 介绍 的 Alice 不 是 技术 行家 ， 最 近 只 听 到 她 的 朋友 Joe 

提 到 过 比特 币 。 在 聚会 上 ，Joe 再 次 热烈 地 向 他 周围 解释 了 比特 币 ， 并 提供 演示 。 有 趣 的 是 ， 

ee 比特 币 。Joe 说 ， 手 机 钱包 最 适合 新 用 户 ， 他 推荐 了 他 最 喜欢 的 几 款 钱 
。Alice 下 载 Android 的 “Mycelium”， 并 将 其 安装 在 手机 上 。 


当 Alice 首 次 运行 Mycelium 时 ， 与 许多 比特 币 钱包 一 样 ， 应 用 程序 会 为 她 自动 创建 一 个 新 的 钱 
包 。Alice 在 她 的 屏幕 上 看 到 钱包 ， 如 “Mycelium 手 机 钱包 ”如 下 图 1-1 所 示 (注意 : 不 要 将 比特 
币 发 送 到 此 示例 地 址 ， 它 将 永远 丢失 ) © 


AU 


ACCOUNTS BALANCE TRANSACTIONS 


Alice 


1Cdid9KFAaat 
wczBwBttQcwX 
YCpvK8h7FK 


0 mBTC 
0.00 USD 


Receive 


1 BTC ~ USD 449.08 (BitcoinAverage) 


Buy / Sell Bitcoin 





E] 1-1 Mycelium4? z^ 4 &, 


这 个 屏幕 最 重要 的 部 分 是 Alice 的 比特 币 地 址 。 在 屏幕 上 ， 它 显示 为 一 长 串 字 母 和 数字 : 
1Cdid9KFAaatwczBwBttQcwXYCpvK8h7FK ° 钱包 的 比特 币 地 址 旁边 是 一 个 二 维 码 ， 一 种 形 
式 的 条 形 码 ， 包 含 可 由 智能 相机 扫描 的 格式 的 相同 信息 。 二 维 码 是 具有 黑色 和 和 白色 点 的 图 案 
的 正方 形 。 Alice 可 以 通过 点 击 二 维 码 或 接收 按钮 将 比特 币 地 址 或 二 维 码 复 制 到 剪贴 板 上 。 在 
大 多 数 钱包 中 ， 点 击 二 维 码 也 会 放大 ， 以 便 更 容易 通过 智能 手机 相机 进行 扫描 。 


提示 比特 币 地 址 以 1 或 3 开头 。 像 电子 邮件 地 址 一 样 ， 他 们 可 以 与 其 他 可 以 使 用 它们 的 比特 币 
用 户 共享 ， 直 接 将 比特 币 发 送 到 您 的 钱包 。 从 安全 角度 看 ， 关 于 比特 币 地 址 没有 任何 敏感 

性 。 它 可 以 在 任何 地 方 发 布 ， 而 不 会 危及 帐户 的 安全 。 与 电子 邮件 地 址 不 同 ， 您 可 以 随意 创 
建新 的 地 址 ， 所 有 这 些 都 会 将 资金 用 于 您 的 钱包 。 事实 上 ， 许 多 现代 钱包 为 每 个 交易 自动 创 
建 一 个 新 地 址 ， 以 最 大 限度 地 提高 隐私 。 钱 包 只 是 一 个 地 址 的 集合 和 解锁 资金 的 钥匙 。 


Alice 现 在 准备 好 收 到 资金 。 她 的 钱包 应 用 程序 随机 生成 一 个 私 钥 (在 [private_keys] 中 更 详细 
地 描述 ) 及 其 相应 的 比特 币 地 址 。 在 这 一 点 上 ， 她 的 比特 币 地 址 对 于 比特 币 网 络 来 说 是 不 知 
道 的 ， 或 者 是 未 经 注册 到 比特 币 系 统 中 。 她 的 比特 币 地 址 只 是 一 个 数字 ， 对 应 于 一 个 可 以 用 
来 控制 资金 访问 的 密 钥 。 它 是 由 她 的 钱包 独立 生成 的 ， 还 没有 参考 或 注册 任何 服务 。 事 实 

上 ， 在 大 多 数 钱 包 中 ， 比 特 币 地 址 和 任何 外 部 可 识别 的 信息 (包括 用 户 的 身份 ) 之 间 没 有 关 
联 。 在 该 地 址 被 引用 作为 比特 币 总 帐 的 交易 中 的 接收 者 之 前 ， 上 比特 币 地 址 只 是 在 比特 币 中 有 
效 的 大 量 可 能 的 地 址 的 一 部 分 。 只 有 一 旦 与 交易 相关 联 才能 成 为 网 络 中 已 知 地 址 的 一 部 分 。 


Alice 现 在 可 以 开始 使 用 她 新 的 比特 币 钱 包 了 。 


1.4.3 得 到 你 的 第 一 个 比特 币 


新 用 户 的 第 一 个 也 是 最 困难 的 任务 是 获取 一 些 比特 币 。 与 其 他 外 币 不 同 ， 您 还 不 能 在 银行 或 
自助 机 购买 比特 币 。 


比特 币 交 易 是 不 可 逆转 的 。 大 多 数 电 子 支付 网 络 〈 如 信用 卡 ， 借 记 卡 ，PayPal 和 银行 帐户 转 
TK) 都 是 可 逆 的 。 对 于 销售 比特 币 的 人 来 说 ， 这 种 差异 引起 了 很 高 的 风险 ， 买 方 在 收 到 比特 
和 后 会 扭转 电子 支付 ， 实 际 上 欺骗 了 卖家 。 为 了 减轻 这 种 风险 ， 接 受 传统 电子 支付 的 公司 通 
常 要 求 买方 进行 身份 验证 和 信用 验证 (可 能 需要 几 天 或 几 周 时 间 ) 。 作 为 新 用 户 ， 这 意味 着 
您 不 能 立即 使 用 信用 卡 购买 比特 币 。 需 要 有 一 点 耐心 和 创造 性 的 想法 ， 但 是 不 要 着 急 。 


以 下 是 作为 新 用 户 得 到 比特 币 的 一 些 方法 : 


找 一 个 有 比特 币 的 朋友 ， 直 接 从 他 或 她 那里 买 一 些 。 许 多 比特 币 用 户 都 是 以 这 种 方式 开始 
的 。 这 种 方法 是 最 不 复杂 的 。 找 到 比特 币 持 有 者 的 好 办 法 是 参加 Meetup.com 上 列 出 的 本 地 比 
特 币 会 议 。 (在 中 国 根 本 无 需 这 么 麻烦 ， 加 微 信 群 ， 在 线 支付 就 可 以 ) 


使 用 分 类 服务 ， 如 localbitcoins.com 来 查找 您 所 在 地 区 的 卖家 ， 以 便 在 现场 交易 中 购买 比特 
fio 


通过 卖 比特 币 的 产品 或 服务 赚 取 比特 币 。 如 果 你 是 程序 员 ， 出 售 你 的 编程 技巧 。 如 果 你 是 美 
发 师 ， 理 发 只 收 比特 币 。 


在 你 的 城市 使 用 比特 币 ATM。 比 特 币 自动 取款 机 是 接受 现金 并 将 比特 币 发 送 到 智能 手机 比特 
币 钱 包 的 机 器 。 使 用 Coin ATM Radar 的 在 线 地 图 找到 靠近 您 的 比特 币 ATM © 


使 用 与 您 的 银行 帐户 相关 联 的 比特 币 货 币 兑 换 。 现 在 有 很 多 国家 都 有 货币 交易 所 ， 为 买卖 双 
方 交易 使 用 当地 货币 进行 交易 。 实 时 行情 服务 (如 BitcoinAverage) 通常 会 显示 每 种 货币 的 比 
Af PR ALF Fe © 


提示 比特 币 与 其 他 支付 系统 的 优点 之 一 是 ， 当 正确 使 用 时 ， 它 为 用 户 提供 了 更 多 的 隐私 。 获 
取 ， 持 有 和 支付 比特 币 不 要 求 您 向 第 三 方 泄露 敏感 和 个 人 身份 信息 。 但 是 ， 如 果 比 特 币 涉及 
传统 的 货币 交换 系统 ， 那 么 国家 法 律 和 国际 法 规 就 会 适用 。 为 了 兑换 本 币 的 比特 币 ， 您 通常 
需要 提供 身份 证 明和 银行 信息 。 用 户 应 该 知道 ， 一 旦 比特 币 地 址 附加 到 一 个 身份 ， 所 有 关联 
的 比特 币 交 易 也 很 容易 识别 和 跟踪 。 这 是 许多 用 户 选择 维护 专用 交易 账户 与 其 钱包 进行 分 离 
的 一 个 原因 。 


Alice 听 朋友 介绍 比特 币 ， 所 以 她 有 一 个 简单 的 方法 来 获得 她 的 第 一 个 比特 币 。 接 下 来 ， 我 们 
将 看 看 她 如 何 从 她 的 朋友 Joe 购买 比特 币 ， 以 Joe 如 何 将 比特 币 发 送 到 她 的 钱包 。 


1.4.4 查 找 比 特 币 当前 价格 
在 Alice 可 以 从 Joe 购买 比特 币 之 前 ， 他 们 必须 同意 比特 币 和 美元 之 间 的 汇率 。 这 给 新 兴 的 比 
特 币 带 来 了 一 个 共同 的 问题 :“ 谁 设 定 比特 币 价 格 ? ?简单 的 答案 是 价格 是 由 市 场 设 定 的 。 


比特 币 与 大 多 数 其 他 货币 一 样 ， 有 浮动 汇率 。 这 意味 着 比特 币 相 对 于 任何 其 他 货币 的 价值 都 
会 根据 交易 的 各 个 市 场 的 供求 情况 而 波动 。 例 如 ， 以 美元 计算 的 比特 币 的 “价格 ?是 根据 最 近 的 
比特 币 和 美元 交易 在 每 个 市 场 中 计算 的 。 因 此 ， 价 格 往往 每 秒 钟 几 次 波动 。 定 价 服 务 将 汇总 
来 自 几 个 市 场 的 价格 ， 并 计算 代表 货币 对 的 广泛 市 场 汇率 (例如 BTC /USD) 的 数量 加 权 平 
均 数 。 


有 数 百 个 应 用 程序 和 网 站 可 以 提供 当前 的 市 场 利 率 。 这 里 有 一 些 最 受 欢迎 的 : 
Bitcoin Average 一 个 网 站 ， 提 供 每 种 货币 的 体积 加 权 平 均 数 的 简单 视图 。 
CoinCap 一 项 服务 列 出 了 数 百 种 加 密 货 币 (包括 比特 币 ) 的 市 值 和 汇率 。 


Chicago Mercantile Exchange Bitcoin Reference Rate 可 用 于 机 构 和 合同 参考 的 参考 值 ， 作 为 
CME 投 资 数据 的 一 部 分 提供 。 


除了 这 些 不 同 的 网 站 和 应 用 程序 ， 大 多 数 比 特 币 钱 包 都 将 自动 转换 比特 币 和 其 他 货币 之 间 的 
兑换 数量 。 在 将 比特 币 发 送 给 Alice 之 前 ，Joe 将 使 用 自己 的 钱包 自动 转换 价格 。 


1.4.5 发 送 和 接收 比特 币 


ER 


z E: 2 
第 一 草 介绍 


Alice 决 定 将 10 美 元 转换 成 比特 币 ， 以 免 对 这 种 新 技术 冒 大 多 的 险 。 她 给 Joe 10 美 元 现金 ， 打 
开 她 的 Mycelium 钱 包 应 用 程序 ， 并 选择 Receive。 这 将 显示 一 个 二 维 码 与 Alice 的 第 一 个 比特 
币 地 址 。 


Joe 然 后 在 他 的 智能 手机 钱包 上 选择 发 送 ， 并 显示 一 个 包含 两 个 输入 的 屏幕 : 

目的 比特 币 地 址 以 比特 币 (BTC) 或 其 当地 货币 (USD) 发 送 的 金额 

在 比特 币 地 址 的 输入 字段 中 ， 有 一 个 看 起 来 像 二 维 码 的 小 图 标 。 这 样 Joe 可 以 用 他 的 智能 手机 
相机 来 扫描 条 形 码 ， 这 样 他 就 不 必 输 入 Alice 的 比特 币 地 址 ， 这 需要 非常 长 的 时 间 ， 而 且 容 易 
出 错 。Joe 点 击 二 维 码 图 标 并 激活 智能 手机 相机 ， 扫 描 Alice 智 能 手机 上 显示 的 二 维 码 。 
Joe 现 在 将 Alice 的 比特 币 地 址 设置 为 收 件 人 。Joe 输 入 的 金额 为 10 美 元 ， 他 的 钱包 通过 访问 在 
线 服务 的 最 新 汇率 来 转换 它 。 当 时 的 汇率 是 每 个 比特 币 $ 100 美 元 ， 所 以 如 Joe 的 钱包 (LA 
1-2Airbitz 移 动 比 特 币 钱包 发 送 屏幕 ) 截图 所 示 ，10 美 元 的 价值 是 0.10 比 特 币 (BTC) 或 100 
€ WAR (mBTC) ° 


My Wallet 


Send 


4 





To: 1Cdid...8h7FK 


1 mBTC=$0.1 USD Max 


mB 100 mBTC 


S iz USD 


Slide to Confirm <_ 
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E] 1-2. Airbitz 移 动 比特 币 钱包 发 送 屏幕 Joe 然 后 仔细 检查 ， 以 确保 他 已 经 输入 了 正确 的 金额 ， 
因为 他 要 汇款 ， 错 误 是 不 可 逆转 的 。 经 过 仔细 检查 地 址 和 金额 后 ， 他 按 发 送 方式 传送 交易 。 
Joe 的 移动 比特 币 钱包 构建 了 一 个 交易 ， 从 Joe 的 钱包 将 0.10 BTC 发 送 给 Alice 提 供 的 地 址 ， 并 
用 Joe 的 私 钥 签署 交易 。 这 告诉 比特 币 网 络 ，Joe 已 经 授权 将 这 笔 钱 转移 给 Alice 的 新 地 址 。 当 
交易 通过 对 等 协议 传输 时 ， 它 会 快速 传播 到 比特 币 网 络 。 在 不 到 一 秒 钟 内 ， 网 络 中 大 多 数 连 
接 良 好 的 节点 都 会 首次 接收 到 交易 ， 并 且 首 次 看 到 Alice 的 地 址 。 

同时 ，Alice 的 钱包 不 断 地 “倾听 "在 比特 币 网 络 上 发 布 的 交易 ， 寻 找 与 她 的 钱包 中 的 地 址 匹配 的 
任何 内 容 。 在 Joe 的 钱包 发 送 交易 几 秒 钟 后 ，Alice 的 钱包 将 显示 它 正 在 接收 0.10 BTC © 


确认 起 初 ，Alice 的 地 址 将 把 Joe 的 交易 显示 为 “未 确认 ”。 这 意味 着 交易 已 传播 到 网 络 ， 但 尚未 
记录 在 比特 币 交 易 账 簿 即 区 块 链 中 。 要 确认 ， 一 个 交易 必须 包含 在 一 个 区 块 中 ， 并 被 添加 到 
区 块 链 ， 这 样 的 情况 平均 每 10 分 钟 发 生 一 次 。 在 传统 的 财务 术语 中 ， 这 被 称 为 清算 。 有 关上 比 
特 币 交 易 的 传播 ， 验 证 和 清算 (确认) 的 详细 信息 ， 请 参阅 挖 矿 章 节 [mining] » 


Alice 现 在 可 以 自豪 地 称 自己 是 0.10 BTC 的 所 有 者 了 ， 她 有 权 花 费 这 些 钱 了 。 在 下 一 章 中 ， 我 
们 将 首先 用 比特 币 进行 购买 ， 并 更 详细 地 研究 底层 交易 和 传播 技术 。 


BARE: 


1. "Bitcoin: A Peer-to-Peer Electronic Cash System," Satoshi Nakamoto 
(https://bitcoin.org/bitcoin. pdf). 


2.13: 5 ^ th ED Fo KR 


比特 币 系 统 与 传统 的 银行 和 支付 系统 不 同 ， 是 基于 去 中 心 化 的 信任 。 在 比特 币 中 ， 取 代 中 央 
信任 机 构 的 是 ， 信 任 是 通过 比特 币 系统 中 不 同 参与 者 的 相互 作用 达成 的 。 在 本 章 中 ， 我 们 将 
通过 较 高 层面 跟踪 比特 币 系 统 单 笔 交 易 ， 观 察 交易 如 何 通过 比特 币 分 布 式 共识 机 制 变 得 可 
信 ， 被 接受 ， 并 且 最 终 记录 在 区 块 链 ， 也 就 是 所 有 交易 的 分 布 式 账簿 。 随后 的 章节 将 深入 探 
讨 交易 ， 网 络 和 采矿 背后 的 技术 。 


2.1.1 比 特 币 概述 


如 图 2-1 所 示 的 概览 图 中 ， 我 们 可 以 看 到 比特 币 系 统 由 用 户 (用 户 通过 密 钥 控制 钱包 ) + RF 
(每 一 笔 交 易 都 会 被 广播 到 整个 比特 币 网 络 ) 和 矿工 (通过 竞争 计算 生成 在 每 个 节点 达成 共 
识 的 区 块 链 ， 区 块 链 是 一 个 分 布 式 的 公共 权威 账簿 ， 包 含 了 比特 币 网 络 发 生 的 所 有 的 交易 ) 
组 成 o 


本 章 中 的 每 个 示例 都 基于 在 比特 币 网 络 上 进行 的 实际 交易 ， 通 过 将 资金 从 一 个 钱包 发 送 到 另 

一 个 钱包 来 模拟 用 户 (Joe，Alice，Bob 和 Gopesh) 之 间 的 交互 。 在 通过 比特 币 网 络 跟踪 交 
易 到 区 块 链 时 ， 我 们 将 使 用 一 个 区 块 链接 浏览 器 站 点 来 显示 每 个 步骤 。 blockchain explorer 
一 个 作为 比特 币 搜索 引擎 运行 的 Web 应 用 程序 ， 它 多 许 您 搜索 地 址 ， 交 易 和 块 ， 并 查看 它们 

之 间 的 关系 和 资金 流动 。 


Block N 





图 2-1 比 特 币 网 络 概览 


常见 的 区 块 链 数据 查询 网 站 包括 : 


D-Bitcoin Block Explorer 
[>BlockCypher Explorem-blockchain.info 
D-BitPay Insight 


以 上 每 一 个 查询 网 站 都 有 搜索 功能 ， 可 以 通过 地 址 ， 交 易 哈 希 值 或 区 块 号 ， 搜 索 到 在 比特 币 
网 络 和 区 块 链 中 对 应 的 数据 。 我 们 将 给 每 个 交易 和 区 块 例子 提供 一 个 链接 ， 方 便 你 做 详细 研 


2t © 


2.1.2 X vn 3 


在 之 前 章节 里 ，Alice 是 一 名 刚刚 获得 第 一 枚 比特 币 的 新 用 户 。 在 “1.4.2 获取 你 的 第 一 枚 比特 
f "一 节 中 ，Alice 和 她 的 朋 友 Joe 会 面 时 ， 用 现金 换取 了 比特 币 。 由 Joe 产 生 的 这 笔 交 易 使 得 
Alice 的 钱包 拥有 了 0.10 比 特 币 。 现 在 Alice 将 第 一 次 使 用 比特 币 在 加 利 福 尼 亚 州 帕 罗 奥 图 的 
Bob 咖 啡 店 买 一 杯 咖啡 。 


Bob 咖 啡 店 给 他 的 销售 网 点 系统 新 增加 了 一 个 比特 币 支 付 选项 ， 价 格 单 上 列 的 是 当地 货币 (X 
A) 的 售 价 ， 但 在 收银 台 ， 顾 客 可 以 选择 用 美元 或 比特 币 支 付 。 此 时 ，Alice 点 了 杯 咖啡 ， 然 
后 Bob 将 交易 键入 到 收银 机 ， 之 后 销售 系统 将 按照 当前 市 场 汇率 把 美元 总 价 转换 为 比特 币 ， 然 
后 同时 显示 两 种 货币 的 价格 : 


总 价 : 

$1.50 USD 

0.015 BTC 

Bob 说 到 ，“ 总 共 1.50 美 元 ， 或 0.015 BTC 比 特 币 ” 

Bob 的 自助 销售 系统 还 将 自动 创建 一 个 包含 付款 请 求 的 二 维 码 。 


与 一 个 简单 包含 目的 比特 币 地 址 的 二 维 码 不 同 ， 当 前 支付 请 求 的 是 一 个 二 维 编码 过 的 URL ， 
它 包含 有 一 个 目的 地 址 ， 一 笔 支付 金额 ， 和 一 个 像 和 Bob 咖 啡 "这 样 的 交易 描述 。 这 使 比特 币 钱 
包 应 用 在 发 送 支付 请 求 时 ， 可 以 预先 填 好 支付 用 的 特定 信息 ， 给 用 户 显示 一 种 友好 匈 懂 的 描 
述 。 你 可 以 用 比特 币 钱包 应 用 扫描 这 个 二 维 码 来 看 Alice 可 能 看 到 的 信息 。 





图 2-2 支 付 请 求 二 维 码 
提示 尝试 用 你 的 钱包 扫描 这 个 ， 看 看 地 址 和 金额 ， 但 不 要 发 送 货币 。 


根据 BIP0021 的 定义 ， 这 个 付款 二 维 码 包 括 的 URL 的 意思 是 : 


bitcoin:1GdK9UzpHBzqzX2A9 JFP3Di4weBwqgmoQA? 


amount=0.015& 
label=Bob%27s%20Cafe& 
message=Purchase%20at%20Bob%27s%20Cafe 


Components of the URL 


A bitcoin address: "1GdK9UZpHBzqzX2A9 JFP3Di4weBwqgmoQA" 
The payment amount: "0.015" 

A label for the recipient address: "Bob's Cafe" 

A description for the payment: "Purchase at Bob's Cafe" 


Alice 用 她 的 智能 手机 扫描 了 显示 的 条 形 码 。 她 的 智能 手机 显示 一 笔 给 Bob 吹 啡 店 的 0.0150 比 
特 币 的 支付 请 求 ， 然 后 她 按 下 发 送 键 授权 了 这 笔 支 付 。 在 几 秒 钟 时 间 内 (AA SA FARR 
所 需 时 间 相 同 ) Bob 将 会 在 收银 台 看 到 这 笔 交 易 ， 并 完成 交易 。 在 接 下 来 的 章节 中 ， 我 们 将 更 
详细 地 检视 这 笔 交 易 ， 观 察 Alice 的 钱包 是 怎样 构建 交易 ， 交 易 又 是 怎样 在 网 络 中 广播 、 怎 样 
被 验证 ， 以 及 Bob 在 后 续 交 易 中 怎 样 消费 那 笔 钱 。 


注意 从 千 分 之 一 比特 币 (1 毫 比特 币 ) 到 一 亿 分 之 一 比特 币 (1 聪 比特 币 ) ， 比 特 币 网 络 可 以 处 
理 任意 小 额 交易 。 在 本 书 中 ， 我 们 将 用 "比特 币 " 这 个 术语 来 表示 任意 数量 的 比特 币 货 币 ， 从 
最 小 单元 (1 联 ) 到 可 被 挖 出 的 所 有 比特 币 总 数 (21,000,000) 。 你 可 以 像 例 1 那样 使 用 区 块 
资源 管理 器 站 点 来 检查 Alice 与 Bob's Cafe 的 交易 : 

例 1. 查看 Alice 的 交易 


点 击 查 看 Alice 的 交易 


2.2 比特 币 交 易 


简单 来 说 ， 交 易 告 知 全 网 : 比特 币 的 持 有 者 已 授权 把 比特 币 转帐 给 其 他 人 “。 而 新 持 有 者 能 够 
再 次 授权 ， 转 移 给 该 比特 币 所 有 权 链 中 的 其 他 人 ， 产 生男 一 笔 交 易 来 花 掉 这 些 比特 币 ， 后 面 
的 持 有 者 在 花费 比特 币 也 是 用 类 似 的 方式 。 


2.2.1 3: 25 dip A Fat 1H 


交易 就 像 复式 记 账 法 账簿 中 的 行 。 简 单 来 说 ， 每 一 笔 交 易 包 含 一 个 或 多 个 “输入 ”*， 输 入 是 针对 
一 个 比特 币 账 号 的 负债 。 这 笔 交 易 的 另 一 面 ， 有 一 个 或 多 个 “输出 ”， 被 当成 信用 积分 记 入 到 
比特 币 账 户 中 。 这 些 输入 和 输出 的 总 额 (负债 和 信用 ) 不 需要 相等 。 相 反 ， 当 输出 累加 略 少 
于 输入 量 时 ， 两 者 的 差额 就 代表 了 一 笔 隐 含 的 “矿工 费 *， 这 也 是 将 交易 放 进 账簿 的 矿工 所 收集 
到 的 一 笔 小 额 支 付 。 如 图 2-3 描 述 的 是 一 笔 作 为 记 账簿 记录 的 比特 币 交 易 。 交 易 也 包含 了 每 一 
笔 被 转移 的 比特 币 (输入 ) 的 所 有 权证 明 ， 它 以 所 有 者 的 数字 签名 形式 存在 ， 并 可 以 被 任何 
人 独立 验证 。 在 比特 币 术 语 中 ，"“ 消 费 " 指 的 是 签署 一 笔 交 易 : 转移 一 笔 以 前 交易 的 比特 币 给 以 
比特 币 地 址 所 标识 的 新 所 有 者 。 


Transaction as Double-Entry Bookkeeping 
Inputs Value . Outputs Value 


Input 1 0.10 BIC . Output 1 0.10 BTC 
Input 2 i . Output 2 0.20 BIC 
Input 3 * Output 3 0.20 BTC 
Input 4 C : 


Total Inputs: 0.55 BIC - Total Outputs: 0.50 BIC 


Inputs 0.55 BIC 
- Outputs 0.50 BTC 


Difference 0.05 BTC (implied transaction fee) 





图 2-3 交 易 就 像 复式 记 账 


22.23: 2) té 


Alice 支 付 Bob 咖 啡 时 使 用 一 笔 之 前 的 交易 作为 输入 。 在 以 前 的 章节 中 ，Alice 从 她 朋友 Joe 那 里 
用 现金 换 了 点 比特 币 。 那 笔 交 易 创 建 了 一 些 被 Alice 的 密 钥 锁定 的 比特 币 。 在 她 支付 Bob 咖 啡 
店 的 新 交易 中 使 用 了 之 前 的 交易 作为 输入 ， 并 以 支付 咖啡 和 找 零 作为 新 的 输出 。 交 易 形 成 了 
一 条 链 ， 最 近 交 易 的 输入 对 应 以 前 交易 的 输出 。Alice 的 密 钥 提供 了 解锁 之 前 交易 输出 的 签 


名 ， 因 此 向 比特 币 网 络 证 明 她 拥有 这 笔 钱 。 她 将 买 咖啡 的 这 笔 支 付 附 加 到 Bob 的 地 址 上 ， 
现 “ 阻 止 " 那 笔 输出 ， 明 确 指 明 要 求 是 Bob 签 名 才能 消费 这 笔 钱 。 这 就 描述 了 A 
钱 的 转移 。 下 图 展示 了 从 Joe 到 Alice 再 到 Bob 的 交易 链 。 


Transaction 7957a35fe64f80d234d76d83a2a8f1a0d8149a41d81de548f0a65a8a999f6f18 











INPUTS From OUTPUTS To 
om Oc es i el 
Transaction Fees: 0.0005 BTC 
Transaction 0627052b6f28912f2703066a912ea577f2ce4da4eda5a5fbd8a57286¢345c2f2 
eee SUUM a hice 
人 ala | pud dg 0150 ETC (spent) ! 


(change) 0.0845 BTC (unspent) 
0.0005 BTC 


Transaction 2bbac8bb3a57a2363407ac8c16a67015ed2e af58cf90299e0744d3de4 
INPUTS From 


tcc E AINE LESION, er ns OUTPUTS To 


Ue e 2) :01 Output #0 Gopesh's Address 0.0100 BTC (unspent) 
B mmp Output #1 Bob"s Address (change) 0.0845 BTC (unspent) 
Transaction Fees: 0.0005 BTC 


图 2-5 交 易 链 中 ， 一 笔 交 易 输 出 就 是 另 一 笔 交 易 的 输入 


2.2.34 X 


许多 比特 币 交 ne Cae A RD) RUE NL ERU A 
Ab) 的 输出 。 这 是 因为 交易 输入 ， 就 像 纸 币 那 样 能 够 ， 不 能 再 分 割 。 如 果 您 在 商店 购买 了 5 美 
元 的 商品 ， 但 是 使 用 20 美 元 的 美金 来 支付 商品 ， 您 预计 会 收 到 15 美 元 的 找 零 。 相 同 的 概念 适 
用 于 比特 币 交易 输入 。 如 果 您 购买 了 一 个 价格 为 5 比特 币 但 只 能 使 用 20 比 特 币 输入 的 商品 ， 那 
么 您 可 以 将 5 个 比特 币 的 一 个 输出 发 送 给 商店 所 有 者 ， 并 将 一 个 15 比 特 币 的 输出 返回 给 您 自己 
EARR ( 减 去 任何 适用 的 交易 费用 ) 。 重 要 的 是 ， 找 零 地 址 不 必 与 输入 时 提供 的 地 址 相 
同 ， 出 于 隐私 的 原因 ， 通 常 是 所 有 者 钱包 中 的 新 地 址 。 


不 同 的 钱包 可 以 在 汇总 输入 以 进行 用 户 请 求 的 付款 时 使 用 不 同 的 策略 。 它 们 可 能 会 聚合 许多 
小 输入 ， 或 者 使 用 等 于 或 大 于 所 需 付款 的 输入 。 除 非 钱包 可 以 以 这 样 的 方式 汇总 输入 ， 以 便 
将 所 需 付 款 与 交易 费用 完全 ee uM 
kin o 如果 你 总 是 在 你 的 钱包 支付 时 使 用 最 大 的 面额 ， 你 会 最 终 得 到 一 个 充满 零钱 的 钱 

。 如 果 你 只 使 用 零钱 ， 你 最 终 会 换 来 整 钱 。 人 们 总 是 在 潜 意 这 两 个 极端 之 间 找 到 平 
a ee ier MM edat. 易 输 入 移 至 输 
出 。 输 入 是 指 钱 币 的 来 源 ， 通 常 是 之 前 一 笔 交 易 的 输出 。 交 易 输 出 将 约定 金额 发 送 到 新 的 所 


有 者 的 比特 币 地 址 ， 并 将 找 零 输出 返回 原来 原来 所 有 者 。 一 笔 交 易 的 输出 可 以 被 当做 另 一 笔 
新 交易 的 输入 ， 这 样 随 着 钱 从 一 个 地 址 被 移动 到 另 一 个 地 址 的 同时 形成 了 一 条 所 有 权 链 (如 
图 2-4) 。 


2.2.4 常见 的 交易 形式 


最 常见 的 交易 形式 是 从 一 个 地 址 到 另 一 个 地 址 的 简单 支付 ， 这 种 交易 也 常常 包含 给 支付 者 
WRR” o 一般 交易 有 一 个 输入 和 两 个 输出 ， 如 图 2-5 所 示 : 


Common Transaction 


Input 0 
“From Alice, 
signed by 
Alice” 


Output 1 
"To Alice" 
(change) 





图 2-5 最 普通 的 交易 

另 一 种 常见 的 交易 形式 是 集合 多 个 输入 到 一 个 输出 (如 图 2-6) 的 模式 。 这 相当 于 现实 生活 中 
将 很 多 硬币 和 纸币 零钱 兑换 为 一 个 大 额 面 钞 。 像 这 样 的 交易 有 时 由 钱包 应 用 产生 来 清理 许多 
在 支付 过 程 收 到 的 小 数额 的 找 零 。 


Aggregating Transaction 





图 2-6 打 包 资 金 的 交易 


最 后 ， 另 一 种 在 比特 币 账 簿 中 常见 的 交易 形式 是 将 一 个 输入 分 配给 多 个 输出 ， 即 多 个 接收 者 
(如 图 2-7) 的 交易 。 这 类 交易 有 时 被 商业 实体 用 作 分 配 资 金 ， 例 如 给 多 个 雇员 发 工资 的 情 


形 。 


Distributing Transaction 





Alice 的 钱包 应 用 知道 如 何 选取 合适 的 输入 和 输出 以 建立 Alice 所 希望 的 交易 。Alice 只 需要 指定 
目标 地 址 和 金额 ， 其 余 的 细节 钱包 应 用 会 在 后 台 自 动 完成 。 很 重要 的 一 点 是 ， 钱 包 应 用 甚至 
可 以 在 完全 离线 时 建立 交易 。 就 像 在 家 里 写 张 支票 ， 之 后 放 到 信封 发 给 银行 一 样 ， 比 特 币 交 
多 建立 和 签名 时 不 用 连接 比特 币 网 络 。 只 有 在 执行 交易 时 才 需 要 将 交易 发 送 到 网 络 。 


2.3.1 获取 正确 的 输入 


Alice 的 钱包 应 用 首先 要 找到 一 些 足 够 支付 给 Bob 所 需 金额 的 输入 。 大 多 数 钱包 应 用 跟踪 着 钱 
包 中 某 个 地 址 的 所 有 可 用 输出 。 因 此 Alice 的 钱包 会 包含 她 用 现金 从 Joe 那 里 购买 的 比特 币 的 交 
2 A S 8| AR (参见 在 “获取 你 的 第 一 枚 比特 币 "一 节 ) 。 完 整 客 户 端 含有 整个 区 块 链 中 所 有 交 
钨 的 所 有 未 消费 输出 副本 。 这 使 得 钱包 既 能 拿 这 些 输出 构建 交易 ， 又 能 在 收 到 新 交易 时 很 快 
地 验证 其 输入 是 否 正 确 。 然 而 ， 完 整 客户 端 占 大 大 的 硬盘 空间 ， 所 以 大 多 数 钱包 使 用 轻 量 级 
的 客户 端 ， 只 保存 用 户 自己 的 未 消费 输出 。 


如 果 钱 包 客 户 端 没 有 某 一 未 消费 交易 输出 ， 它 可 以 通过 不 同 的 服务 者 提供 的 各 种 API 或 完整 索 
引 节 点 的 JSON PRC API 从 比特 币 网 络 中 拿 到 这 一 交易 信息 。 例 子 2-1 展 示 了 用 HTTP GETA 
令 对 一 个 特定 URL 建 立 了 一 个 API 的 请 求 。 这 个 URL 会 返回 一 个 地 址 的 所 有 未 消费 交易 输出 ， 
以 提供 给 需要 这 些 信 息 的 任何 应 用 作为 建立 新 交易 的 输入 而 进行 消费 。 我 们 用 一 个 简单 的 


HTTP 命 令 行 客户 端 CURL 来 获得 这 个 响应 数据 。 


例 2-1 查找 Alice 的 比特 币 地 址 所 有 的 未 消费 的 输出 


$ curl https://blockchain.info/unspent?active-1Cdid9KFAaatwczBwBttQcwXYCpvK8h7FK 
{ 


"unspent_outputs":[ 


{ 
"tx_hash":"186f9f998a5. ..2836dd734d2804fe65fa35779", 
"tx_index":104810202, 
"tx_output_n": 0, 
"script":"76a9147f9b1a7fbe68d60c536c2fd8aeaa53a8f3cc025a888ac", 
"value": 10000000, 
"value hex": "00989680", 
"confirmations":0 


例 2-2 的 响应 数据 显示 了 在 Alice 的 地 址 1Cdid9KFAaatwczBwBttQcwXY CpvK8h7FK 上 面 有 一 
个 未 消费 输出 (还 未 被 兑换 ) 。 这 个 响应 包含 一 个 交易 的 引用 。 而 从 Joe 那 里 转 过 来 的 未 消费 
输入 就 包含 在 这 个 交易 里 面 ， 它 的 价值 是 一 千 万 聪 (satoshi) > PP 0.10 比 特 币 。 通 过 这 个 信 
息 ，Alice 的 钱包 应 用 就 可 以 创建 新 的 交易 将 钱 转账 到 新 地 址 。 


提示 点 击 这 里 查看 Joe 和 Alice 间 的 交易 信息 。 


如 你 所 见 ，Alice 的 钱包 在 单个 未 消费 的 输出 中 有 足够 的 比特 币 支付 一 杯 咖啡 。 假 如 不 够 的 
话 ，Alice 的 钱包 应 用 就 不 得 不 搜寻 一 些小 的 未 消费 输出 ， 像 是 从 一 个 存 钱 钠 里 找 硬币 一 样 ， 
直到 找到 足够 支付 咖啡 的 数量 。 在 两 种 情境 下 ， 可 能 都 需要 找 回 零钱 ， 而 这 些 找 零 也 会 是 钱 
包 所 创建 的 交易 的 输出 组 成 部 分 。 我 们 会 在 下 一 节 会 有 所 描述 。 


2.3.2 创建 交易 输出 


交易 的 输出 会 被 创建 成 为 一 个 包含 这 笔 数 额 的 脚本 的 形式 ， ee daa DN LA 
后 才能 兑换 。 简 单 点 说 就 是 ，Alice 的 交易 输出 会 包含 一 个 脚本 ， 这 个 脚本 说 “这 个 输出 谁 能 
拿 出 一 个 签名 和 Bob 的 公开 地 址 匹配 上 ， 就 支付 给 谁 *。 因为 只 有 Bob 的 钱包 的 私 钥 可 以 匹配 这 
个 地 址 ， 所 以 只 有 Bob 的 钱包 可 以 提供 这 个 签名 以 兑换 这 笔 输出 。 因 此 Alice 会 需要 Bob 的 签 
名 来 包 装 一 个 输 出 。 


这 个 交易 还 会 包含 第 二 个 输出 。 因 为 Alice 的 金额 是 0.10 比 特 币 的 输出 形式 ， 对 0.015 比特 币 一 
杯 的 咖啡 来 说 太 多 了 ， 需 要 找 Alice 0.085 比 特 币 的 零钱 。Alice 钱 包 创建 给 她 的 零钱 的 支付 就 
在 付 给 Bob 的 同一 个 交易 里 面 。 可 以 说 ， Aligeri ia 包 将 她 的 金额 分 成 了 两 个 支付 : 一 个 给 
Bob， 一 个 给 自己 。 她 可 以 在 以 后 的 交易 里 消费 这 笔 零钱 输出 。 


Ll ， 为 了 让 这 笔 交 易 尽 快 地 被 网 络 处 理 ，Alice 的 钱包 会 多 付 一 小 笔 费用 。 这 个 不 是 明显 地 

含 在 交易 中 的 ; 而 是 通过 输入 和 输出 的 差 值 所 隐 含 的 。 如 果 Alice 创 建 找 零 时 只 找 0.0845 比 
> 而 不 是 0.085 比 特 币 的 话 ， 这 里 就 有 剩 下 0.0005 比 特 币 (50 万 联 ) 。 因 为 加 起 来 小 于 
0.10， 所 以 这 个 0.10 比特 币 的 输入 就 没有 被 完整 的 消费 了 。 这 个 差 值 会 就 被 矿工 当 作 交易 费 
放 到 区 块 的 交易 里 ， 最 终 放 进 区 块 链 帐 薄 中 。 


这 个 交易 的 结果 信息 可 以 用 区 块 链 数据 查询 站 点 看 到 ， 如 图 2-8 所 示 。 


Transaction View information about a bitcoin transaction 
0627052b6128912127030662912ea577f2ce4da4caa5a5fbd8a57286c345c2f2 


1GdK9UzpHBzqzX2A9JFP3Di4weBwqgmoQA 


1Cdid9KFAaatwczBwBttQcwXYCpvKBh7FK (0.1 BTC - Output) ny a M 
i czBw W. V (0.1 BTC - 
3 ee 1Cdid9KFAaatwczBwBttQcwXYCpvKBh7FK - 
(Unspent) 0.0845 BTC 
= 
Summary Inputs and Outputs 
Size 258 (bytes) Total Input 0.1 BTC 
Received Time 2013-12-27 23:03:05 Total Output 0.0995 BTC 
Included In 277316 (2013-12-27 23:11:54 +9 Fees 0.0005 BTC 
Blocks minutes) 
Estimated BTC Transacted 0.015 BTC 


图 2-8 Alice 和 Bob 加 啡 店 的 交易 


提示 点 击 这 里 查看 Alice 支 付 Bob 咖 啡 的 交易 的 信息 


2.3.3 将 交易 放 到 总 账簿 中 


这 个 被 Alice 钱 包 应 用 创建 的 交易 大 小 为 258 字 节 ， 包 含 了 确认 资金 所 有 权 和 分 配给 新 所 有 者 所 
需要 的 全 部 信息 。 现 在 ， 这 个 交易 必须 要 被 传送 到 比特 币 网 络 中 以 成 为 分 布 式 账簿 (BR 
f) 的 一 部 分 。 在 下 一 节 里 ， 我 们 来 看 下 一 个 交易 如 何 成 为 新 区 块 的 一 部 分 ， 以 及 区 块 是 如 
何 被 挖 矿 构建 的 。 最 后 ， 我 们 会 看 看 新 区 块 被 加 进 区 块 链 后 ， 是 如 何 随 更 多 区 块 的 添加 而 增 
加 可 信 度 的 。 


2.3.3.1 交易 的 传送 
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为 这 个 交易 包含 处 理 所 需 的 所 有 信息 ， 所 以 这 个 交易 是 被 如 何 或 从 哪里 传送 到 比特 币 网 络 
的 就 无 所 谓 了 。 比 特 币 网 络 是 由 参与 的 比特 币 客户 端 联接 几 个 其 他 比特 币 客 户 端 组 成 的 P2P 网 
络 。 比 特 币 网 络 的 目的 是 将 交易 和 区 块 传 播 给 所 有 参与 者 。 


2.3.3.2 如 何 传播 


“说 着 "比特 币 协议 ， 从 而 实现 参与 比特 币 网 络 的 任何 系统 (例如 服务 器 ， 桌 面 应 用 程序 或 钱 
EL) 都 称 为 比特 币 节点 。Alice 的 钱包 应 用 可 以 发 送 新 的 交易 给 其 它 任意 一 个 已 联接 到 互联 网 
的 比特 币 客户 端 ， 不 论 其 是 由 有 线 网 、WiFi、 还 是 通过 手机 联接 的 。 她 的 钱包 不 必 直 接连 着 


Bob 的 比特 币 钱 包 ， 且 她 不 必 使 用 咖啡 厅 提 供 的 网 络 联网 ， 虽 然 这 两 者 都 是 可 能 的 。 任 何 比 特 
REM EE o aM NE DEI cornet Stone 
的 其 它 节点 。 因此 ， 这 个 交易 迅速 地 从 P2P 网 络 中 传播 开 来 ， 几 秒 内 就 能 到 达 大 多 数 节 点 。 


2.3.3.3 Bob 的 视角 


如 果 Bob 的 比特 币 钱包 应 用 是 直接 连接 Alice 的 钱包 应 用 的 话 ，Bob 的 钱包 应 用 也 许 就 是 第 一 个 
收 到 这 个 交易 的 节点 。 然 而 ， 即 使 Alice 的 交易 是 从 通过 其 它 节点 发 过 来 的 ， 一 样 可 以 在 几 秒 
钟 内 到 达 Bob 钱 包 应 用 这 里 。Bob 的 钱包 会 立即 确认 Alice 的 交易 是 一 个 收入 支付 ， 因 为 它 包 
含 能 用 Bob 的 私 钥 兑换 的 输出 。Bob 的 钱包 应 nio qa 费 输入 来 确认 这 个 交 

多 是 正确 构建 的 ， 并 且 由 于 包含 足够 交易 费 会 被 下 一 个 区 块 包 这 时 Bob 只 需 冒 很 小 的 
风险 ， 因 为 这 个 交易 会 很 快 被 加 到 区 块 且 被 确认 。 


提示 一 个 对 比特 币 交 易 的 常见 误解 是 它们 必须 要 等 10 分 钟 后 被 确认 加 进 一 个 新 区 块 ， 或 等 60 
分 钟 以 得 到 六 次 确认 后 才 是 有 效 的 。 虽 然 这 些 确 认可 以 确保 交易 已 被 整个 网 络 接受 ， 但 对 于 
像 一 杯 咖啡 这 样 的 小 额 商 品 来 说 就 没有 必要 等 竺 那么 长 时 间 了 。 一 个 商家 可 以 免 确 认 来 接受 
比特 币 小 额 支付 。 这 样 做 的 风险 不 比 接受 一 个 不 是 用 有 效 身 份 证 领取 或 没有 签名 的 信用 卡 的 
风险 更 大 ， 而 后 者 是 现在 商家 常 做 的 事情 。 


2.4 比特 币 挖 矿 


这 个 交易 现在 在 比特 币 网 络 上 传播 开 来 。 但 只 有 被 一 个 称 为 挖 矿 的 过 程 验证 且 加 到 一 个 区 块 
中 之 后 ， 这 个 交易 才 会 成 为 这 个 共享 账簿 (区 块 链 ) 的 一 部 分 。 关 于 挖 矿 的 详细 描述 请 见 第 
10 章 。 比 特 币 系统 的 信任 是 建立 在 计算 的 基础 上 的 。 交 易 被 包 在 一 起 放 进 区 块 中 时 需要 极 大 
的 计算 量 来 证 明 ， 但 只 需 少 量 计 算 就 能 验证 它们 已 被 证 明 。 


挖 矿 在 比特 币 系 统 中 有 两 个 重要 作用 : 


> 挖 矿 节点 通过 参考 比特 币 的 共识 规则 验证 所 有 交易 。 因此 ， 控 矿 通 过 拒绝 无 效 或 畸形 
m 交易 的 安全 性 。 


D- 挖 矿 在 构建 区 块 时 会 创造 新 的 比特 币 ， 和 一 个 中 央 银 行 印 发 新 的 纸币 很 类 似 。 每 个 区 块 创 
造 的 比特 币 数 量 是 固定 的 ， 随 时 间 会 渐渐 减少 。 


挖 矿 在 成 本 和 报酬 之 间 取 得 了 良好 的 平衡 。 挖 矿 采 用 电力 来 解决 数学 问题 。 一 个 成 功 的 矿工 
: 以 新 的 比特 币 和 交易 费 的 形式 获取 奖励 。 但是， 只 有 矿工 正确 验证 了 所 有 的 交易 ， 才 能 获 
导 奖 励 ， 才 能 达到 协商 一 致 的 规则 。 这 种 微妙 的 平衡 为 没有 中 央 权 力 机 构 的 比特 币 提 供 安 全 
en 2 
描述 挖 矿 的 一 个 好 方法 是 将 之 类 比 为 一 个 巨大 的 多 人 数 独 谜 题 游戏 。 一 旦 有 人 发 现 正解 之 


后 ， 这 个 数 独 游戏 会 自动 调整 难度 以 使 游戏 每 次 需要 大 约 10 分 钟 解 决 。 想 象 一 个 有 几 千 行 几 
千 列 的 巨大 数 独 游戏 。 如 果 给 你 一 个 已 经 完成 的 数 独 ， 你 可 以 很 快 地 验证 它 。 然 而 ， 如 果 这 


个 数 独 只 有 几 个 方 格 里 有 数字 其 余 方 格 都 为 空 的 话 ， 就 会 花费 非常 长 的 时 间 来 解决 。 这 个 数 
独 游 戏 的 困难 度 可 以 通过 改变 其 大 小 (更 多 或 更 少 行列 ) 来 调整 ， 但 即使 它 非常 大 时 验证 它 
也 是 相当 容 多 的 。 而 比特 币 中 的 " 谜 题 " 是 基于 哈 希 加 密 算 法 的 ， 其 展现 了 相似 的 特性 : 非 对 
称 地 ， 它 解 起 来 困难 而 验证 很 容易 ， 并 且 它 的 困难 度 可 以 调整 。 


在 “比特 币 的 应 用 、 用 户 和 他 们 的 故事 "一 节 中 ， 我 们 提 到 了 一 个 叫 Jing 的 在 上 海 学 计算 机 工程 
的 学 生 。Jing 在 比特 币 网 络 中 扮演 了 一 个 矿工 的 角色 。 大 概 每 10 分 钟 ，Jing 和 其 他 上 千 个 矿工 
一 起 展开 一 场 对 一 个 区 块 的 交易 寻找 正解 的 全 球 竞 赛 。 为 寻找 这 个 解 ， 也 被 称 为 工作 量 证 

明 ， 整 个 网 络 需要 具有 每 秒 亿 万 次 哈 希 计算 的 能 力 。 这 个 工作 量 证 明 算 法 指 的 用 SHA256 加 密 
算法 不 断 地 对 区 块头 和 一 个 随机 数字 进行 哈 希 计算 ， 直 到 出 现 一 个 和 预 设 值 相 匹配 的 解 。 第 
一 个 找到 这 个 解 的 矿工 会 赢得 这 局 竞赛 并 会 将 此 区 块 发 布 到 区 块 链 中 。 


Jing 从 2010 年 开始 挖 矿 ， 当 时 他 使 用 一 个 非常 快 的 桌面 电脑 来 为 新 区 块 寻找 正解 。 随 着 更 多 
的 矿工 加 入 比特 币 网 络 中 ， 了 寻找 恋 题 正解 的 困难 度 迅速 增 大 。 不 久 ，Jing 和 其 他 矿工 升级 成 
更 专业 的 硬件 ， 比 如 游戏 桌面 电脑 或 控制 台 专 用 的 高 端 独 享 图 像 处 理 单元 芯片 (BEF 
GPU) 。 在 写 这 本 书 的 时 候 ， 解 题 已 经 变 得 极其 困难 ， 只 有 使 用 集成 了 几 百 个 挖 矿 专用 算法 
硬件 并 能 同时 在 一 个 单独 世 片 上 并 行 工 作 的 专用 集成 电路 (ASIC) 挖 矿 才 会 营利 。Jing 的 公 
司 同 时 加 入 了 一 个 类 似 彩票 奖池 的 、 能 够 让 多 个 矿工 共享 计算 力 和 报酬 的 矿 池 。Jing 现 在 运行 
两 个 通过 USB 联 接 的 ASIC 机 器 每 天 24 小 时 不 间断 地 挖 矿 。 他 卖 掉 一 些 挖 矿 所 得 到 的 比特 币 来 
支付 电费 ， 通 过 收益 获得 一 些 收 入 。 


2.5 Rk 89408. RICK 


新 交易 不 断 地 从 用 户 钱包 和 应 用 流入 比特 币 网 络 。 当 比特 币 网 络 上 的 节点 看 到 这 些 交易 时 ， 
会 先 将 它们 放 到 各 自 节 点 维护 的 一 个 临时 的 未 经 验证 的 交易 池 中 。 当 矿工 构建 一 个 新 区 块 
时 ， 会 将 这 些 交易 从 这 个 交易 池 中 拿 出 来 放 到 这 个 新 区 块 中 ， 然 后 通过 尝试 解决 一 个 非常 困 
难 的 问题 (也 叫 工作 量 证 明 ) 以 证 明 这 个 新 区 块 的 合法 性 。 挖 矿 过 程 的 细节 会 在 " 挖 矿 简介 ”一 
节 中 详 加 描述 。 


这 些 交 易 被 加 进 新 区 块 时 ， 以 交易 费用 高 的 优先 以 及 其 它 的 一 些 规则 进行 排序 。 矿 工 一 旦 从 
网 络 上 收 到 一 个 新 区 块 时 ， 会 意识 到 在 这 个 区 块 上 的 解 题 竞赛 已 经 输 掉 了 ， 会 马上 开始 下 一 
个 新 区 块 的 挖掘 工作 。 它 会 立刻 将 一 些 交易 和 这 个 新 区 块 的 数字 指纹 放 在 一 起 开始 构建 下 一 
个 新 区 块 ， 并 开始 给 它 计算 工作 量 证 明 。 每 个 矿工 会 在 他 的 区 块 中 包含 一 个 特殊 的 交易 ， 将 
新 生成 的 比特 币 (当前 每 区 块 为 12.5 比 特 币 ) 作为 报酬 支付 到 他 自己 的 比特 币 地 址 ， 再 加 上 
块 中 所 有 交易 的 交易 费用 的 总 和 作为 自己 的 报酬 。 如 果 他 找到 了 使 得 新 区 块 有 效 的 解法 ， 他 
就 会 得 到 这 笔 报酬 ， 因 为 这 个 新 区 块 被 加 入 到 了 总 区 块 链 中 ， 他 添加 的 这 笔 报酬 交 多 也 会 变 
成 可 消费 的 。 参 与 矿 池 的 Jing 设 置 了 他 的 软件 ， 使 得 构建 新 区 块 时 会 将 报酬 地 址 设 为 矿 池 的 
地 址 。 然 后 根据 各 自 上 一 轮 贡 献 的 工作 量 将 所 得 的 报酬 分 给 Jing 和 其 他 参与 矿 池 控 矿 的 矿工 。 


Alice 的 交易 被 网 络 拿 到 后 放 进 未 验证 交易 池 中 。 一 旦 被 挖 矿 软件 验证 ， 它 就 被 包含 在 由 Jing 
ee 
作证 明 。 大 约 在 Alice 的 钱包 第 一 次 将 这 个 交易 发 送出 来 五 分 钟 后 ，Jing 的 ASIC 矿 机 发 现 了 新 
te ew 
建新 区 块 的 竞赛 中 。 


Jing 的 ASIC 矿 机 发 现 了 新 区 块 的 正解 并 将 之 发 布 为 第 277,316 号 区 块 ， 包 含 420 个 交易 ， 和 包括 
Alice 的 交易 。 包 含 Alice 交 易 的 区 块 对 这 个 交易 来 说 算 一 次 "确认 "。 


提示 你 可 以 查看 包含 Alice 交 易 记 录 的 这 个 区 块 的 信 ， 


大 约 19 分 钟 后 ， 第 277,317 号 新 区 块 诞生 在 另 一 个 挖 矿 节 点 中 。 因 为 这 个 新 区 块 是 在 包含 Alice 
交易 的 第 277,316 号 区 块 的 上 层 (R) ， 在 这 个 区 块 的 基础 上 增加 了 更 多 的 计算 ， 因 此 就 加 强 
了 这 些 交易 的 可 信 度 。 基 于 这 个 区 块 每 产生 一 个 新 区 块 ， 对 这 个 交易 来 说 就 会 增加 了 一 次 " 确 
认 "。 当 区 块 一 个 个 堆 上 来 时 ， 这 个 交易 变 得 指数 级 地 越 来 越 难 被 推翻 ， 因 此 它 在 网 络 中 得 到 
更 多 信任 。 


在 图 2-9 中 ， 我 们 可 以 看 到 包含 Alice 的 交易 的 第 277,316 号 区 块 。 在 它 之 下 有 377,361 个 区 块 
(包括 0 号 区 块 ) ， 像 链子 一 样 一 个 连 着 一 个 (区 块 链 ) ， 一 直 连 到 0 号 区 块 ， 即 创 世 区 块 。 
随 着 时 间 变 长 ， 这 个 区 块 链 的 高 度 也 随 之 增长 ， 每 个 区 块 和 整个 链 的 计算 复杂 度 也 随 之 增 
加 。 和 包含 Alice 的 交易 的 区 块 后 面 形成 的 新 区 块 使 得 信任 度 进一步 增加 ， 因 为 他 们 受 加 了 更 多 
的 计算 在 这 个 越 来 越 长 的 链子 上 。 按 惯例 来 说 ， 一 个 区 块 获得 六 次 以 上 “确认 ”时 就 被 认为 是 不 
可 撤销 的 了 ， 因 为 要 撤销 和 重建 六 个 区 块 需要 巨 量 的 计算 。 在 第 10 章 我 们 会 详细 描述 挖 矿 和 
信任 建立 的 过 程 。 
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图 2-9Alice 的 交易 包括 在 区 块 277316 


2.6 消费 这 笔 交 易 


既然 Alice 的 这 笔 交 易 已 经 成 为 区 块 的 一 部 分 被 谋 入 到 了 区 块 链 中 ， 它 就 成 为 了 整个 分 布 式 比 
特 币 账 薄 的 一 部 分 并 对 所 有 比特 币 客户 端 应 用 可 见 。 每 个 比特 币 客户 端 都 能 独立 地 验证 这 笔 
交易 是 有 效 且 可 消费 的 。 全 节点 客户 端 可 以 追溯 钱 款 的 来 源 ， 从 第 一 次 有 比特 币 在 区 块 里 生 


成 的 那 一 刻 开始 ， 按 交易 与 交易 间 的 关系 顺藤摸瓜 ， 直 到 Bob 的 交易 地 址 。 轻 量 级 客户 端 通过 
确认 一 个 交易 在 区 块 链 中 且 在 它 后 面 有 几 个 新 区 块 来 确认 一 个 支付 的 合法 性 。 这 种 方式 叫做 
简易 支付 验证 (A 见 “简易 支付 验证 (SPV) FA") 。 


Bob 现 在 可 以 将 此 交易 和 其 它 交易 的 结果 信息 作为 输入 ， 创 建新 的 所 有 权 为 其 他 人 的 交易 。 这 
样 就 实现 了 对 此 交易 的 消费 。 举 个 例子 ，Bob 可 以 用 Alice 支 付 咖啡 的 比特 币 转 账 给 承包 商 或 
供应 商 以 支付 相应 费用 。 大 多 数 情况 下 ，Bob 用 的 比特 币 客户 端 会 将 多 个 小 额 支付 聚合 成 一 个 
大 的 支付 ， 也 许 会 将 一 整 天 的 比特 币 收入 聚合 成 一 个 交易 。 这 样 会 将 多 个 支付 合成 到 咖啡 店 
财务 账户 的 一 个 单独 地 址 。 图 2-10 为 交易 集合 示例 。 


当 Bob 花 费 从 Alice 和 其 他 顾客 那里 赚 得 的 比特 币 时 ， 他 就 扩展 了 比特 币 的 交易 链条 。 而 这 个 
链条 会 被 加 到 整个 区 块 链 账 簿 ， 使 所 有 人 知晓 并 人 信任。 我们 假定 Bob 向 在 邦 加 罗 尔 的 网 站 设计 
师 Gopesh 支 付 一 个 新 网 页 的 设计 费用 。 那 么 区 块 交易 链 如 图 2-10 所 示 。 


INPUTS OUTPUTS 


Transaction#1 Joe ==» Alice 


Transaction #2 Alice ==» Bob 


Transaction #3 Bob EE Gopesh 


图 2-10Alice 的 交易 成 为 Joe fe Gopesh 交 易 的 一 部 分 


在 本 章 中 ， 我 们 看 到 了 交易 如 何 被 构建 为 一 个 链 ， 并 将 价值 从 一 个 所 有 者 转移 到 所 有 者 。 我 
们 还 追踪 了 Alice 的 交易 ， 从 她 的 钱包 中 创建 的 那 一 刻 起 ， 通 过 比特 币 网 络 被 矿工 记录 在 区 块 
链 。 在 本 书 的 其 余部 分 ， 我 们 将 研究 钱包 ， 地 址 ， 签 名 ， 交 易 ， 网 络 和 最 终 挖 矿 等 背后 的 具 
体 技 术 。 


Bitcoin 是 一 个 开源 项 目 ， 源 代码 可 以 根据 开放 (MIT) 许可 证 提供 ， 可 免费 下 载 并 用 于 任何 目 
的 。 开 源 意味 着 不 仅仅 是 自由 使 用 。 这 也 意味 着 比特 币 是 由 一 个 开放 的 志愿 者 社区 开发 的 。 
起 初 这 个 社区 只 有 中 本 聪 。 到 2016 年 ， 比 特 币 的 源 代 码 有 超过 400 个 贡献 者 ， 大 约 十 几 位 开 
发 人 员 几 乎 全 职工 作 ， 几 十 名 开发 人 员 兼 职 。 任何 人 都 可 以 为 代码 贡献 - 包括 你 ! 


当 由 中 本 聪 创建 比特 币 时 ， 软 件 实际 上 是 在 后 来 大 名 罗 吻 的 [satoshi_whitepapenl 白 皮 书 之 前 
完成 的 。 中 本 联想 在 写作 之 前 确保 它 有 效 工 作 。 那么 这 个 第 一 个 实践 ， 就 叫做 “比特 币 
(Bitcoin) "或 者 “Satoshi 客 户 *”， 实际 上 已 经 被 大 大 的 修改 和 改进 了 。 它 已 经 演变 成 所 谓 的 比 
特 币 核 心 ， 以 区 别 于 其 他 兼容 的 实现 方式 。 比特 币 核 心 是 比特 币 系 统 的 参考 实现 ， 这 意味 着 
它 是 如 何 实施 的 权威 参考 。Bitcoin Core 实 现 了 比特 币 的 所 有 方面 ， 包 括 钱 包 ， 交 易 和 区 块 验 
证 引擎 ， 以 及 P2P 网 络 中 的 完整 网 络 节点 。 


警示 即使 Bitcoin Core 包 含 钱包 的 参考 实现 ， 但 这 并 不 意味 着 可 以 用 作用 户 或 应 用 程序 的 生产 
钱包 。 建议 应 用 程序 开发 人 员 使 用 现代 标准 (如 BIP-39 和 BIP-32) 构建 钱包 (请 参阅 助 记 词 ] 
和 [hd 钱包 ] 章 节 ) 。 BIP 就 是 比特 币 改进 提案 (Bitcoin Improvement Proposal) » 


下 图 为 比特 币 核心 的 架构 。 
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图 3-1 比 特 币 核心 架构 (来 源 Eric Lombrozo ) 


3.1 比 特 币 开发 环境 


如 果 您 是 开发 人 员 ， 您 将 需要 使 用 所 有 工具 ， 库 和 支持 软件 来 设置 开发 环境 ， 以 编写 比特 币 
应 用 程序 。 这 一 章 涉及 的 技术 细节 较 深 ， 我 们 将 逐步 介绍 该 过 程 。 如 果 你 觉得 过 于 繁 天 (并 
且 您 实际 上 并 没有 设置 开发 环境 ) ， 建 议 你 跳 到 下 一 章 ， 技 术 性 比 本 章 浅显 一 些 。 


3.2 从 源码 编译 比特 币 核心 


Bitcoin Core 的 源 代 码 可 以 作为 ZIP 存 档 下 载 ， 也 可 以 从 GitHub 克 隆 权 威 的 源 代 码 库 。 在 
GitHub 比 特 币 页 面 GitHub bitcoin page 上 ， 选 择 “ 下 载 ZIP”。 或 者 ， 使 用 git 命 令 行 在 系统 上 创 
建 源 代码 的 本 地 副本 。 


提示 在 本 章 的 许多 例子 中 ， 我 们 将 使 用 操作 系统 的 命令 行 界 面 (也 称 为 “shel") > i8 

过 “terminal" 应 用 程序 访问 。 shell 将 显示 提示 你 键入 命令 ， 并 且 shell 反 馈 一 些 文本 和 一 个 新 的 
提示 您 的 下 一 个 命令 。 提示 符 可 能 在 您 的 系统 上 看 起 来 不 同 ， 但 在 以 下 示例 中 ， 它 由 符号 表 
示 ( 非 用 户 ) 。 在 示例 中 ， 当 您 在 符号 后 面 看 到 文本 时 ， 不 要 键入 符号 ， 而 是 在 其 后 面 键入 
命令 ， 然 后 按键 执行 该 命令 。 在 示例 中 ， 每 个 命令 下 面 的 行 是 操作 系统 对 该 命令 的 响应 。 当 
你 看 到 下 一 个 前 级 时 ， 应 该 继续 输入 下 一 个 新 的 命令 ， 可 以 一 直 重 复 这 个 过 程 。 


在 本 例 中 ， 我 们 使 用 git 命 令 来 创建 源 代码 的 本 地 副本 (“clone”) 


$ git clone https://github.com/bitcoin/bitcoin.git 

Cloning into 'bitcoin'... 

remote: Counting objects: 66193, done. 

remote: Total 66193 (delta 0), reused 0 (delta 0), pack-reused 66193 
Receiving objects: 100% (66193/66193), 63.39 MiB | 574.00 KiB/s, done. 
Resolving deltas: 100% (48395/48395), done. 

Checking connectivity... done. 

$ 


提示 Git 是 最 广泛 使 用 的 分 布 式 版 本 控制 系统 ， 是 任何 软件 开发 人 员工 具 包 的 重要 组 成 部 分 。 
您 可 能 需要 在 操作 系统 上 安装 git 命 令 或 git 的 图 形 用 户 界 面 。 


当 git 克 隆 操作 完成 后 ， 您 将 在 目录 比特 币 中 拥有 源 代码 存储 库 的 完整 本 地 副本 。 在 提示 符 下 
键入 "cd bitcoin”， 进 入 为 此 目录 : 


$ cd bitcoin 


3.2.1 选 择 比 特 币 核心 版 本 


默认 情况 下 ， 本 地 副本 将 与 最 新 的 代码 同步 ， 这 可 能 是 不 稳定 的 或 Beta 版 的 比特 币 。 在 编译 
代码 之 前 ， 先 查看 一 个 发 布 标签 tag， 选 择 一 个 特定 的 版 本 。 这 将 使 本 地 副本 与 关键 字 标签 所 
标识 的 代码 库 的 特定 快照 同步 。 开 发 人 员 使 用 标签 来 标记 版 本 号 的 特定 版 本 的 代码 。 首先 ， 
要 找到 可 用 的 标签 ， 我 们 使 用 git tag 命 令 : 


$ git tag 
v0.1.5 
v0.1.6test1 
v0.10.0 
v0.11.2 
v0.11.2rci 


v0.12.0rci 
v0.12.0rc2 


tag 列 表 显 示 所 有 发 布 的 比特 币 版 本 。 根据 惯例 ， 用 于 测试 的 发 布 候选 版 本 具有 后 组 "rc"。 可 
以 在 生产 系统 上 运行 的 稳定 版 本 没有 后 级 。 从 上 面 的 列表 中 ， 选 择 最 高 版 本 的 版 本 ， 在 编写 
时 是 v0.11.2。 要 使 本 地 代码 与 此 版 本 同步 ， 请 使 用 git checkout 命 令 : 


$ git checkout v0.11.2 
HEAD is now at 7e27892... Merge pull request #6975 


您 可 以 通过 输入 命令 git status 来 确认 您 有 所 需 的 版 本 “checkout” : 


$ git status 
HEAD detached at v0.11.2 
nothing to commit, working directory clean 


3.2.2 配 置 构建 比特 币 核心 


源 代码 中 包括 文档 ， 可 以 在 多 个 文件 中 找到 。 通 过 在 提示 符 下 键入 “more README.md" 并 使 
用 空格 键 进入 下 一 页 ， 查 看 bitcoin 目 录 中 README.md 中 的 主要 文档 。 在 本 章 中 ， 我 们 将 在 
Linux 上 构建 命令 行 比 特 币 客户 端 ， 也 称 为 比特 币 (bitcoind) 。 在 系统 中 查看 编译 bitcoind 命 
令 行 客户 端的 说 明 ， 方 法 是 输入 “more doc / build-unix.md”。 可 以 在 doc 目 录 中 找到 macOS 和 
Windows 的 替代 说 明 ， 分 别 为 build-osx.md 或 build-windows.md ° 


仔细 查看 build 前 提 条 件 ， 这 些 前 提 是 build 文 档 的 第 一 部 分 。 这 些 是 在 您 开始 编译 比特 币 之 前 
必须 存在 于 系统 上 的 库 。 如 果 缺 少 这 些 先决 条 件 ，build 过 程 将 失败 并 显示 错误 。 如 果 发 生 这 
种 情况 是 因为 您 缺失 先决 条 件 ， 则 可 以 安装 它 ， 然 后 从 您 所 在 的 地 方 恢 复 build 过 程 。 假 设 安 
装 了 先决 条 件 ， 您 可 以 通过 使 用 autogen.sh 脚 本 生成 一 组 build 脚 本 来 启动 build 过 程 。 


注意 Bitcoin Core build 过 程 已 经 从 0.9 开 始 更 改 为 使 用 autogen / configure / make & Zt » 旧版 
本 使 用 简单 的 Makefile， 与 以 下 示例 的 方法 略 有 不 同 。 因此 要 按照 要 编译 的 版 本 的 说 明 进 行 
操作 。 在 0.9 中 引入 的 autogen / configure / make 可 能 是 用 于 所 有 未 来 版 本 代码 的 build 系 统 ， 
并 且 是 以 下 示例 中 演示 的 系统 。 


$ ./autogen.sh 


glibtoolize: copying file 'build-aux/m4/libtool.m4' 
glibtoolize: copying file 'build-aux/m4/ltoptions.m4' 
glibtoolize: copying file 'build-aux/m4/ltsugar.m4' 
glibtoolize: copying file 'build-aux/m4/ltversion.m4' 


configure.ac:10: installing 'build-aux/compile' 
configure.ac:5: installing 'build-aux/config.guess' 
configure.ac:5: installing 'build-aux/config.sub' 
configure.ac:9: installing 'build-aux/install-sh' 
configure.ac:9: installing 'build-aux/missing' 
Makefile.am: installing 'build-aux/depcomp' 


autogen.sh 脚 本 创建 一 组 自动 配置 脚本 ， 它 会 询问 系统 以 发 现 正确 的 设置 ， 并 确保 您 拥有 编 
译 代 码 所 需 的 所 有 库 。 其 中 最 重要 的 是 配置 脚本 ， 它 提供 了 许多 不 同 的 选项 来 自 定 义 构建 过 
f& » 4t A" [configure --help” 查 看 各 种 选项 : 


$ ./configure --help 
*configure' configures Bitcoin Core 0.11.2 to adapt to many kinds of systems. 


Usage: ./configure [OPTION]... [VAR-VALUE]... 


Optional Features: 
--disable-option-checking ignore unrecognized --enable/--with options 
--disable-FEATURE do not include FEATURE (same as --enable-FEATURE-no) 
--enable-FEATURE[-ARG] include FEATURE [ARG=yes] 


--enable-wallet enable wallet (default is yes) 


--with-gui[=no|qt4|qt5|auto] 


配置 脚本 允许 您 通过 使 用 --enable-FEATURE 和 --disable-FEATURE 标 志 来 启用 或 禁用 bitcoind 
的 某 些 功能 ， 其 中 FEATURE 由 功能 名 称 替 换 ， 如 帮助 输出 中 所 列 。 在 本 章 中 ， 我 们 将 构建 具 
有 所 有 默认 功能 的 bitcoind 客 户 端 。 我 们 不 会 使 用 配置 标志 ， 但 您 应 该 查看 它们 以 了 解 可 选 功 
能 是 客户 端的 一 部 分 。 如 果 您 处 于 学 术 环 境 中 ， 计 算 机 实验 室 的 限制 可 能 需要 您 在 主 目录 中 
安装 应 用 程序 (例如 ， 使 用 --prefix =$ HOME) ° 


以 下 是 一 些 有 用 的 选项 ， 可 以 窗 盖 configure 脚 本 的 默认 行为 : 
--prefix=$HOME 


这 将 覆盖 生成 的 可 执行 文件 的 默认 安装 位 置 ( 它 是 / usr /local/) » 使 用 HOMER MAAS 
放 在 您 的 主 目录 或 不 同 的 路 径 中 。 


--disable-wallet 

这 用 于 禁用 参考 钱包 的 实现 。 

--With-incompatible-bdb 

如 果 您 正在 构建 钱包 ， 请 允许 使 用 不 兼容 版 本 的 Berkeley DB 库 。 
--with-gui=no 

不 要 构建 图 形 用 户 界面 ， 图 形 界面 需要 Qt 库 。 这 只 构建 服务 器 和 命令 行 。 


接 下 来 ， 运 行 configure 脚 本 来 自动 发 现 所 有 必需 的 库 ， 并 为 您 的 系统 创建 一 个 自 定义 的 构建 
脚本 : 


$ ./configure 

checking build system type... x86 64-unknown-linux-gnu 
checking host system type... x86 64-unknown-linux-gnu 
checking for a BSD-compatible install... /usr/bin/install -c 
checking whether build environment is sane... yes 

checking for a thread-safe mkdir -p... /bin/mkdir -p 
checking for gawk... gawk 

checking whether make sets $(MAKE)... yes 


[many pages of configuration tests follow] 


$ 


如 果 一 切 顺利 ，configure 命 令 将 会 以 创建 可 定制 的 构建 脚本 结束 。 这 些 构建 脚本 允许 我 们 编 
译 bitcoind。 如 果 有 缺失 的 库 或 是 错误 ，configure 命 令 将 会 以 错误 信息 终止 。 如 果 出 现 了 错 
误 ， 可 能 是 因为 缺少 库 或 是 有 不 兼容 的 库 。 重 新 检查 构建 文档 ， 确 认 你 已 经 安装 缺失 的 必 备 
条 件 。 然 后 运行 configure， 看 看 错误 是 否 消失 了 。 


3.2.3 构 建 Bitcoin 核 心 可 执行 文件 


下 一 步 ， 你 将 编译 源 代码 ， 这 个 过 程 根据 CPU 和 内 存 资源 不 同 ， 但 一 般 可 能 需要 1 个 小 时 完 
成 。 在 编译 的 过 程 中 ， 你 应 该 过 几 秒 或 是 几 分 钟 看 一 下 输出 结果 。 如 果 出 现 了 问题 ， 你 会 看 


Au 
到 错误 。 如 果 中 断 了 ， 编 译 的 过 程 可 以 在 任何 时 候 恢 复 。 输 入 make 命 令 就 可 以 开始 编译 了 : 


$ make 
Making all in src 


CXX crypto/libbitcoinconsensus la-hmac sha512.1lo 

CXX crypto/libbitcoinconsensus la-ripemd160.10 

CXX crypto/libbitcoinconsensus_la-shai.lo 

CXX crypto/libbitcoinconsensus_la-sha256.1lo 

CXX crypto/libbitcoinconsensus la-sha512.1o 

CXX libbitcoinconsensus la-hash.1lo 

CXX primitives/libbitcoinconsensus la-transaction.lo 

CXX libbitcoinconsensus la-pubkey.lo 

CXX script/libbitcoinconsensus la-bitcoinconsensus.lo 

CXX script/libbitcoinconsensus la-interpreter.lo 
[... many more compilation messages follow ...] 


如 果 一 切 顺 利 ，bitcoind 现 在 puce 。 最 后 一 步 就 是 通过 sudo make install 命令 ， 安 装 
bitcoind 可 执行 文件 到 你 的 系统 路 径 下 ， 可 能 会 提示 您 输入 用 户 密 码 ， 因 为 此 步骤 Hune 
权限 : 


$ sudo make install 
Password: 
Making install in src 

../build-aux/install-sh -c -d '/usr/local/lib' 
libtool: install: /usr/bin/install -c bitcoind /usr/local/bin/bitcoind 
libtool: install: /usr/bin/install -c bitcoin-cli /usr/local/bin/bitcoin-cli 
libtool: install: /usr/bin/install -c bitcoin-tx /usr/local/bin/bitcoin-tx 


bitcoind 默认 的 安装 位 置 是 /usr/local/bin。 你 可 以 通过 询问 系统 下 面 2 个 可 执行 文件 的 路 径 ， 来 
确认 bitcoin 是 否 安装 成 功 。 


$ which bitcoind 
/usr/local/bin/bitcoind 


$ which bitcoin-cli 
/usr/local/bin/bitcoin-cli 


3.2.4 运 行 比特 币 核心 节点 


比特 币 的 对 等 网 络 由 网 络 * 节 点 ?组 成 ， 主 要 由 志愿 者 和 一 些 构建 比特 币 应 用 程序 的 商业 机 构 运 
那些 运行 的 比特 币 节 BOUE Ee BUR E IAE A 区 块 链 视图 ， 并 且 具 有 所 有 交易 的 本 地 
副本 ， 由 其 自己 的 系统 独立 验证 。 通 过 运行 节点 ， 您 不 必 依 赖 任何 第 三 方 来 验证 交易 。 此 


— 
\ 


外 ， 通 过 运行 比特 币 节点 ， 您 可 以 通过 使 其 更 健壮 的 方式 为 比特 币 网 络 做 出 贡献 。 


昌 是 ， 运 行 节 人 千 接 的 系统 。 根据 您 是 
否 选 ru dmi 本， 您 可 能 还 需要 大 量 的 磁盘 空间 和 RAM © 到 nid 
底 ， 全 索引 节点 需要 2 GB 的 RAM 和 125 GB 的 磁盘 空间 ， 以 便 它 有 增长 的 空间 。 比特 币 节 
还 传输 和 接收 比特 币 交 易 和 块 ， 消 耗 互 联网 带宽 。 如 果 您 的 互联 网 连接 受 限 ， 有 带宽 ER 
按 流量 计 费 ， 建 议 您 不 要 在 其 上 运行 比特 币 全 节点 ， 或 以 限制 其 带宽 的 方式 运行 它 (请 参阅 
资源 有 限 的 系统 ) o 


提示 Bitcoin Core 默 认 情 况 下 保留 区 块 链 的 完整 副本 ， 与 2009 年 成 立 以 来 在 比特 币 网 络 上 发 
生 的 每 一 笔 交 易 相 关 。 此 数据 集 的 大 小 为 120GB， 下 载 可 能 需要 几 天 或 几 周 ， 具 体 取决 于 
CPU 和 互联 网 连接 的 速度 。 直 到 完整 的 块 链 数 据 集 被 下 载 完 成 之 前 ，Bitcoin Core 将 无 法 处 理 
交易 或 更 新 帐户 余额 。 确 保 您 有 足够 的 磁盘 空间 ， 带 宽 和 时 间 来 完成 初始 同步 。 您 可 以 配置 
Bitcoin Core 通 过 丢弃 旧 块 来 减少 块 链 的 大 小 (请 参阅 资源 有 限 的 系统 ) ， 但 是 在 丢弃 数据 之 
前 仍 将 下 载 整 个 数据 集 。 

管 有 这 些 资源 需求 ， 但 仍 有 成 千 上 万 的 志愿 者 运行 比特 币 节 点 。 一 些 在 简单 的 系统 上 运 
行 ， 就 像 树 莽 派 Raspberry Pi (一 块 35 美 元 的 计算 机 ， 一 张 卡 的 大 小 ) 。 许多 志愿 者 还 在 租 
用 的 服务 器 上 运行 比特 币 节点 ， 通 常 是 Linux 的 一 些 变 体 。 虚拟 专用 服务 器 (VPS) 或 云 计算 
服务 器 实例 可 用 于 运行 比特 币 节点 。 这 些 服务 器 可 以 从 各 种 供应 商 每 月 租用 25 至 50 美 元 。 


为 什么 一 个 节点 ? 以 下 是 一 些 最 常见 的 原因 : 


如 果 您 正在 开发 比特 币 软件 ， 并 且 需 要 依靠 比特 币 节点 进行 可 编程 (API) 访问 网 络 和 区 块 
链 o 


如 果 您 正在 构建 必须 根据 比特 币 共 识 规则 验证 交易 的 应 用 程序 。 比特 币 软 件 公 司 通常 运行 几 
个 节点 。 


果 你 想 支持 比特 币 。 运 行 节点 使 网 络 更 加 健壮 ， 能 够 提供 更 多 的 钱包 ， 更 多 的 用 户 和 更 多 
pne o 


如 果 您 不 想 依赖 任何 第 三 方 来 处 理 或 验证 您 的 交易 。 


如 果 您 正在 阅读 本 书 并 对 开发 比特 币 软件 感 兴趣 ， 那 么 您 应 该 运行 自己 的 节点 。 


3.2.5 首 次 运行 比特 币 核 心 


当 你 第 一 次 运行 bitcoind 时 ， 它 会 提醒 你 用 一 个 安全 密码 给 JSON-RPC 接 口 创建 一 个 配置 文 
件 。 该 密码 控制 对 Bitcoin Core 提 供 的 应 用 程序 编程 接口 (API) 的 访问 。 


通过 在 终端 输入 bitcoind 就 可 以 运行 bitcoind 了 : 


$ bitcoind 

Error: To use the "-server" option, you must set a rpcpassword in the configuration fi 
Wer 

/home/ubuntu/.bitcoin/bitcoin.conf 

It is recommended you use the following random password: 

rpcuser-bitcoinrpc 

rpcpassword-2XA4DuKNCbtZXsBQRRNDEwEY2nM6MAH9TXx5dF j oAVVbK 

(you do not need to remember this password) 

The username and password MUST NOT be the same. 

If the file does not exist, create it with owner-readable-only file permissions. 
It is also recommended to set alertnotify so you are notified of problems; 

for example: alertnotify=echo %s | mail -s "Bitcoin Alert" admin@foo.com 


你 可 以 看 到 ， 第 一 次 运行 bitcoind 它 会 告诉 你 ， 你 需要 建立 一 个 配置 文件 ， 至 少 有 一 个 rpcuser 
UE 目 。 另 外 ， 建 议 您 设置 警报 机 制 。 在 下 一 节 中 ， 我 们 将 介绍 各 种 配置 选 
项 ， 并 设置 一 个 配置 文件 。 


3.2.6 配 置 比 特 币 核心 节点 


在 首选 编辑 器 中 编辑 配置 文件 ， 并 设置 参数 ， 用 bitcoind 推 荐 的 强 密码 替换 密码 。 请 勿 使 用 本 
书 中 显示 的 密码 。 在 .bitcoin 目 录 (在 用 户 的 主 目录 下 ) 中 创建 一 个 文件 ， 以 便 它 被 命名 
为 .bitcoin / bitcoin.conf 并 提供 用 户 名 和 密码 : 


rpcuser=bitcoinrpc 
rpcpassword=CHANGE_THIS 


& 1 rpcuserferpcpassword3 7 > Bitcoin Core 还 提供 了 100 多 个 配置 选项 ， 可 以 修改 网 络 节 
点 ， 区 块 链 的 存储 以 及 其 操作 的 许多 其 他 方面 。 


要 查看 这 些 选 项 的 列表 ， 请 运行 bitcoind --help : 


bitcoind --help 
Bitcoin Core Daemon version v0.11.2 


Usage: 
bitcoind [options] Start Bitcoin Core Daemon 
Options: 
-? 
This help message 
-alerts 


Receive and display P2P network alerts (default: 1) 


-alertnotify=<cmd> 
Execute command when a relevant alert is received or we see a really 
long fork (%s in cmd is replaced by message) 


[many more options] 


-rpcsslciphers=<ciphers> 
Acceptable ciphers (default: 
TLSv1.2-*HIGH: TLSV1+HIGH: !SSLv2: !aNULL: !eNULL: !3DES:@STRENGTH) 


以 下 是 您 可 以 在 配置 文件 中 设置 的 一 些 最 重要 的 选项 ， 或 作为 bitcoind 的 命令 行 参数 : 
alertnotify 

运行 指定 的 命令 或 脚本 ， 通 常 通过 电子 邮件 将 紧急 警报 发 送 给 该 节点 的 所 有 者 。 
conf 


配置 文件 的 另 一 个 位 置 。 这 只 是 作为 bitcoind 的 命令 行 参数 有 意义 ， 因 为 它 不 能 在 它 引 用 的 配 
置 文件 内 。 


datadir 
选择 要 放 入 所 有 块 链 数 据 的 目录 和 文件 系统 。 默认 情况 下 ， 这 是 您 的 主 目 录 的 .bitcoin 子 目 
录 。 确保 这 个 文件 系统 具有 几 GB 的 可 用 空间 。 
prune 

过 删除 上 日 的 块 ， 将 磁盘 空间 要 求 降 低 到 这 个 兆 字 节 。 在 资源 受 限 的 节点 上 不 能 满足 完整 块 
的 节点 使 用 这 个 。 
txindex 


维护 所 有 交易 的 索引 。 这 意味 着 可 以 通过 ID 以 编程 方式 检索 任何 交易 的 块 链 的 完整 副本 。 


maxconnections 


设置 接受 连接 的 最 大 节点 数 。 从 默认 值 减少 该 值 将 减少 您 的 带宽 消耗 。 如 果 您 的 网 络 是 按照 
流量 计 费 ， 请 使 用 。 


maxmempool 

将 交易 内 存 池 限制 在 几 兆 字 节 。 使 用 它 来 减少 节点 的 内 存 使 用 。 
maxreceivebuffer/maxsendbuffer 

将 每 连接 内 存 缓冲 区 限制 为 1000 字 节 的 多 个 倍数 。 在 内 存 受 限 节点 上 使 用 。 
minrelaytxfee 


设置 您 将 继续 的 最 低 费 用 交易 。 低 于 此 值 ， 交 易 被 视 为 零 费 用 。 在 内 存 受 限 的 节点 上 使 用 它 
来 减少 内 存 中 交易 池 的 大 小 。 


交易 数据 库 索 引 和 txinadex 选 项 


默认 情况 下 ，Bitcoin Core 构 建 一 个 仅 包 含 与 用 户 钱包 有 关 的 交易 的 数据 库 。 如 果 您 想 要 使 用 
诸如 getrawtransaction (参见 探索 和 解码 交易 ) 之 类 的 命令 访问 任何 交易 ， 则 需要 配置 Bitcoin 
Core 以 构建 完整 的 交易 索引 ， 这 可 以 通过 txindex 选 项 来 实现 。 在 Bitcoin Core 配 置 文件 中 设 
置 txindex = 1° 如 果 不 想 一 开始 设置 此 选项 ， 后 期 再 想 设置 为 完全 索引 ， 则 需要 使 用 -reindex 
选项 重新 启动 bitcoind， 并 等 待 它 重建 索引 。 


下 面 的 完整 索引 节点 的 例子 配置 显示 了 如 何 将 上 述 选项 与 完全 索引 节点 组 合 起 来 ， 作 为 比特 
币 应 用 程序 的 API 后 端 运行 。 


例 3-1 完 整 索引 节点 的 例子 


alertnotify=myemailscript.sh "Alert: 96s" 
datadir-/lotsofspace/bitcoin 

txindex=1 

rpcuser=bitcoinrpc 
rpcpassword=CHANGE_THIS 


下 面 是 小 型 服务 器 资源 不 足 配 置 示例 。 


例 3-2 小 型 服务 器 资源 不 足 配 置 示例 


alertnotify=myemailscript.sh "Alert: 96s" 
maxconnections-15 

prune-5000 

minrelaytxfee=0.0001 

maxmempool=200 

maxreceivebuf fer=2500 

maxsendbuf fer=500 

rpcuser=bitcoinrpc 
rpcpassword=CHANGE_THIS 


编辑 配置 文件 并 设置 最 符合 您 需求 的 选项 后 ， 可 以 使 用 此 配置 测试 bitcoind。 运行 Bitcoin 
Core， 使 用 选项 printtoconsole 在 前 台 运 行 输出 到 控制 台 


$ bitcoind -printtoconsole 


Bitcoin version v0.11.20.0 

Using OpenSSL version OpenSSL 1.0.2e 3 Dec 2015 

Startup time: 2015-01-02 19:56:17 

Using data directory /tmp/bitcoin 

Using config file /tmp/bitcoin/bitcoin.conf 

Using at most 125 connections (275 file descriptors available) 
Using 2 threads for script verification 

scheduler thread start 

HTTP: creating work queue of depth 16 

No rpcpassword set - using random cookie authentication 
Generated RPC authentication cookie /tmp/bitcoin/.cookie 
HTTP: starting 4 worker threads 

Bound to [::]:8333 

Bound to 0.0.0.0:8333 

Cache configuration: 

* Using 2.0MiB for block index database 

* Using 32.5MiB for chain state database 

* Using 65.5MiB for in-memory UTXO set 

init message: Loading block index... 

Opening LevelDB in /tmp/bitcoin/blocks/index 

Opened LevelDB successfully 


[... more startup messages ...] 


一 旦 您 确信 正在 加 载 正 确 的 设置 并 按 预 期 运行 ， 您 可 以 按 Ctrl-C 中 断 进 程 。 要 在 后 台 运 # 


Bitcoin b - ， 请 使 用 守护 程序 选项 启动 它 ， 如 bitcoind -daemon。 要 监视 o 币 节 


点 的 进度 和 运行 状态 ， 请 使 用 命令 bitcoin-cli getinfo : 


$ bitcoin-cli getinfo 


t 
"version" : 110200, 
"protocolversion" : 70002, 
"blocks" : 396328, 
"timeoffset" : 0, 
"connections" : 15, 
DIO AE MU 
"difficulty" : 120033340651.23696899, 
"testnet" : false, 
"relayfee" : 0.00010000, 
No GS wees see 

} 


7 34 4F Bitcoin Core 版 本 0.11.2 的 节点 ， 块 链接 高 度 为 396328 个 块 和 15 个 活动 网 络 连 接 。 


一 旦 您 对 所 选择 的 配置 选项 感到 满意 ， 您 应 该 将 bitcoin 添 加 到 操作 系统 中 的 启动 脚本 中 ， 以 使 
其 连续 运行 ， 并 在 操作 系统 重新 启动 时 自动 启动 。 您 可 以 在 contrib /init 下 的 bitcoin 的 源 目 录 
中 的 各 种 操作 系统 和 README.md 文 件 中 找到 一 些 示 例 启动 脚本 ， 显 示 哪 个 系统 使 用 哪个 脚 


3.3 通过 命令 行使 用 比特 币 核心 的 JSON-RPC 


API 接 口 
比特 币 核心 客户 端 实现 了 JSON-RPC 接 口 ， add M 行 帮助 程序 bitcoin-cli 访 
问 。 命 令 行 可 以 使 用 API 进 行 编程 ， 让 我 们 有 能 实验 。 * 始 前 ， 调 用 help 命 令 查看 


可 用 的 比特 币 RPC 命 令 列 表 : 


$ bitcoin-cli help 

addmultisigaddress nrequired ["key",...] ( "account" ) 

addnode "node" "add|remove |onetry" 

backupwallet "destination" 

createmultisig nrequired ["key",...] 

createrawtransaction [{"txid":"id","vout":n},...] {"address":amount,...} 
decoderawtransaction "hexstring" 


verifymessage "bitcoinaddress" "signature" "message" 
walletlock 

walletpassphrase "passphrase" timeout 
walletpassphrasechange "oldpassphrase" "newpassphrase" 


的 每 一 个 可 能 需要 多 个 参数 。 要 获得 更 多 帮助 ， 详 细 说 明和 参数 信息 ， 请 在 帮助 
全 名 称 。 例如 ， 要 查看 getblockhash RPC 命 令 的 帮助 : 


om d 
党 I 
E 
> 


$ bitcoin-cli help getblockhash 
getblockhash index 


Returns hash of block in best-block-chain at index provided. 


Arguments: 

1. index (numeric, required) The block index 

Result: 

"hash" (string) The block hash 

Examples: 

» bitcoin-cli getblockhash 1000 

> curl --user myusername --data-binary '{"jsonrpc": "1.0", "id":"curltest", "method": 


"getblockhash", "params": [1000] }' -H 'content-type: text/plain;' http://127.0.0.1:83 
32/ 


在 帮助 信息 的 最 后 ， 您 将 看 到 RPC 命 令 的 两 个 示例 ， 使 用 bitcoin-cli helper HTTP & P 3& 84 
curl。 这 些 例 子 演示 如 何 调用 命令 。 复制 第 一 个 示例 并 查看 结果 


$ bitcoin-cli getblockhash 1000 
00000000c937983704a73af28acdec37b049d214adbda81d7e2a3dd146f6ed09 


结果 是 一 个 区 块 哈 希 ， 这 在 下 面 的 章节 中 有 更 详细 的 描述 。 但 是 现在 ， 该 命令 应 该 在 您 的 系 
统 上 返回 相同 的 结果 ， 表 明 您 的 Bitcoin Core 节 点 正在 运行 ， 正 在 接受 命令 ， 并 且 有 关于 块 
1000 的 信息 返回 给 您 。 


在 下 一 节 中 ， 我 们 将 演示 一 些 非常 有 用 的 RPC 命 令 及 其 预期 输出 。 


3.3.1 获得 比特 币 核心 客户 端 状态 的 信息 


命令 : getinfo 


LE 


比特 币 getinfo Ona 关于 比特 币 网 络 节点 、 钱 包 、 区 块 链 数据 库 状 态 的 基础 信息 。 使 
用 bitcoin-cli 运行 


$ bitcoin-cli getinfo 


t 
"version" : 110200, 
"protocolversion" : 70002, 
"blocks" : 396367, 
"timeoffset" : 0, 
"connections" : 15, 
DIS OV AME: MU 
"difficulty" : 120033340651.23696899, 
"testnet" : false, 
"relayfee" : 0.00010000, 
VOGGOGS use ue 

H 


数据 以 JavaScript 对 象 表示 法 (JSON) 返回 ， 这 是 一 种 格式 ， 可 以 轻松 地 被 所 有 编程 语言 “ 消 
费 ”， 但 也 是 非常 人 性 化 的 。 在 这 些 数据 中 ， 我 们 看 到 比特 币 软件 客户 端 〈《110200) 和 比特 币 
协议 (70002) 的 版 本 号 。 我 们 看 到 当前 的 块 高 度 ， 显 示 了 这 个 客户 端 知道 了 多 少 块 
(396367) 。 我 们 还 会 看 到 有 关上 比特 币 网 络 和 与 此 客户 端 相关 的 设置 的 各 种 统计 信息 。 


提示 比特 币 特 客 户 端 " 赶 上 "当前 的 blockchain 高 度 需 要 一 些 时 间 ， 因 为 它 从 其 他 bitcoin 客 户 端 
下 载 块 。 您 可 以 使 用 getinfo 检 查 其 进度 ， 以 查看 已 知 块 的 数量 。 


3.3.1 .1 探索 和 解码 交易 


Sv 


命令 : getrawtransaction > decodeawtransaction 


在 买 咖啡 的 故事 中 ，Alice 从 Bob 咖 啡 厅 买 了 一 杯 咖 啡 。 她 的 交易 记录 在 交易 ID (txid) 
0627052b6f28912f2703066a912ea577f2ce4da4caa5a5fbd8a57286c345c2f2 的 封锁 上 。 我 
们 使 用 API 通 过 传递 交易 ID 作为 参数 来 检索 和 检查 该 交易 : 


$ bitcoin-cli getrawtransaction 0627052b6f28912f2703066a912ea577f2ce4da4caaba« 
5fbd8a57286c345c2f2 


0100000001186f9f998a5aa6f048e51dd8419a14d8a0f1a8a2836dd734d2804fe65fa357790004 
000008b48304502210088401424086652a3f47ba4746ec719bbfbd040a570bideccbb6498c75c4a 
ae24cb02204b9f039ffO8dfO9cbe9f6addac960298cad530a863ea8f53982c09db8f6e3813014a 
10484eccOd46f1918b30928fa0e4ed99f16a0fb4fde0735e7ade8416ab9fe423cc541233637672 
89d172787ec3457eee41c04f 4938de5cc17b4a10fa336a8d752adfffffffff0260e31600000004 
0001976a914ab68025513c3dbd2f7b92a94e0581f5d50f654e788acd0ef8000000000001976a94 
147f9b1a7fb68d60c536c2fd8aeaa53a8f3cc025a888ac00000000 


提示 交易 ID 在 交易 被 确认 之 前 不 具有 权威 性 。 在 区 块 链 中 缺少 交易 哈 希 并 不 意味 着 交易 未 被 
处 理 。 这 被 称 为 “交易 可 扩展 性 ”"， 因 为 在 块 中 确认 之 前 可 以 修改 交易 哈 希 。 确认 后 ，txid 是 不 
可 改变 的 和 权威 的 。 


Li 


命令 getrawtransaction 以 十 六 进 制 返回 顺序 交易 。 为 了 解码 ， 我 们 使 用 decodeawtransaction 
命令 ， 将 十 六 进 制 数据 作为 参数 传递 。 您 可 以 复制 getrawtransaction 返 回 的 十 六 进 制 ， 并 将 
其 作为 参数 粘贴 到 decodeawtransaction 中 : 


E 


$ bitcoin-cli decoderawtransaction 0100000001186f9f998a5aa6f048e51dd8419a14d8« 
a0f1a8a2836dd734d2804fe65fa35779000000008b483045022100884d142d86652a3f47ba474« 
6ec719bbfbd040a570bi1deccbb6498c75c4ae24cb02204b9f039ffO8dfO9cbe9f6addac9602984 
cad530a863ea8f53982c09db8f6e381301410484ecc0d46f1918b30928fa0eA4ed99f16a0fb4fda 
e0735e7ade8416ab9fFe423cc5412336376789d172787ec3457eee41c04F4938de5cc17b4a10fau 
336a8d752adfffffffff0260e31600000000001976a914ab68025513c3dbd2f 7b92a94e0581f5« 
d50f654e788acd0ef8000000000001976a9147f9b1a7fb68d60c536c2fd8aeaab53a8f3cc025a8« 
88ac00000000 


"txid": "0627052b6f28912f2703066a912ea577f2ce4da4caababfbd8a57286c345c2f2", 
"size": 258, 
"version": 1, 
"locktime": 0, 
valere: Tm 
{ 
"txid": "7957a35fe64f80d234d76d83a2...8149a41d81de548f0a65a8a999f6f18", 
"vout": O, 
"scriptSig": { 
"asm" :"3045022100884d142d86652a3f47ba4746ec719bbfbd040a570bł1decc..." 
"hex" :"483045022100884d142d86652a3f47ba4746ec719bbfbd040a570b1de..." 
} 
"sequence": 4294967295 
} 
], 
"vout": [ 
{ 
"value": 0.01500000, 
Wie. Ol, 
"scriptPubKey": { 
"asm": "OP DUP OP HASH160 ab68...5f654e7 OP EQUALVERIFY OP_CHECKSIG", 
"hex": "76a914ab68025513c3dbd2f7b92a94e0581f5d50f654e788ac", 
"reqSigs": 1, 
"type": "pubkeyhash", 
"addresses": [ 
"1G6dK9UzpHBzqzX2A9 JFP3Di4weBwqgmoQA" 


} 
}, 


{ 
"value": 0.08450000, 


ie ale 
"scriptPubKey": { 
"asm": "OP DUP OP HASH160 7f9b1a...025a8 OP EQUALVERIFY OP_CHECKSIG", 
"hex": "76a9147f9b1a7fbe68d60c536c2fd8aeaa53a8f3cc025a888ac", 
"reqSigs": 1, 
"type": "pubkeyhash", 
"addresses": [ 
"1Cdid9KFAaatwczBwBt tQcwXYCpvK8h7FK" 


解码 展示 这 笔 交 易 的 所 有 成 分 ， 包 括 交 易 的 输入 及 输出 。 在 这 个 例子 中 ， 我 们 可 以 看 到 
这 笔 给 我 们 新 地 址 存 入 50mBTC 的 交易 使 用 了 一 个 输入 并 且 产 生 两 个 输出 。 这 笔 交 易 的 输入 
是 前 一 笔 确认 交易 的 输出 (展示 位 以 d3c7 开 头 的 vin txid) 。 两 个 输出 则 是 50mBTC 存 入 额度 
返回 给 发 送 者 的 找 零 。 


我 们 可 以 使 用 相同 命令 (例如 gettransaction ) 通过 检查 由 本 次 交易 的 txid 索 引 的 前 一 笔 交 易 
进一步 探索 区 块 链 。 通 过 从 一 笔 交 易 跳 到 另外 一 笔 交 易 ， 我 们 可 以 追溯 一 连 串 的 交易 ， 因 为 
币值 一 定 是 从 一 个 拥有 者 的 地 址 传送 到 另 一 个 拥有 者 的 地 址 。 


3.3.2 探索 区 块 


命令 : getblock ^ getblockhash 


Sw 


探索 区 块 类 似 于 探索 交易 。 但 是 ， 块 可 以 由 块 高 度 或 块 哈 希 引 用 。 首先 ， 让 我 们 找到 一 个 块 
的 高 度 。 在 买 咖啡 故事 中 ， 我 们 看 到 Alice 的 交易 已 被 包含 在 框 277316 中 。 我 们 使 用 
getblockhash 命 令 ， 它 将 块 高 度 作 为 参数 ， 并 返回 该 块 的 块 哈 希 值 : 


$ bitcoin-cli getblockhash 277316 
0000000000000001b6b9a13b095e96db41c4a928b97ef2d944a9b31b2cc7bdc4 


既然 我 们 知道 我 们 的 交易 在 哪个 区 块 中 ， 我 们 可 以 使 用 getblock 命 令 ， 并 把 区 块 哈 希 值 作 为 参 
数 来 查询 对 应 的 区 块 : 


$ bitcoin-cli getblock 0000000000000001b6b9a13b095e96db41c4a928b97ef2d944a9b3a 
1b2cc7bdc4 


"hash": "99000000000000001b6b9a13b095e96db41c4a928b97ef2d944a9b31b2cc7bdc4", 

"confirmations": 37371, 

"size": 218629, 

"height": 277316, 

"version": 2, 

"merkleroot": "c91c008c266e50763e9f548bb8b2fc323735f73577effbc55502c5d1eb4cc7cf2e", 

Us TE 
"d5ada064c6417ca25c4308bd158c34b77ei1c0eca2a73cda16c737e7424afba2f", 
"b268b45c59b39d759614757718b9918caf0ba9d97c56f3b91956ff877c503fbe", 
"04905fF987ddd4cfe603b03cfb7ca50ee81d89d1 fF 8f5F265c38F763eea4a21Ffd", 
"32467aab5d04f51940075055c2f20bbd1195727c961431bfOaff8443f9710f81", 
"561c5216944e21fa29dd12aaa1a45e3397f9c0d888359cb05e1f79fe73da37bd", 

[... hundreds of transactions ...] 
"78b300b2a1d2d9449b58db7bc71c3884d6e0579617e0da4991b9734cef7ab23a", 
"6c87130ec283ab4c2c493b190c20de4b28ff3caf72d16ffai1ce3e96f2069aca9", 
"efa423dbc36e36ef193fd8898dfdf7621dcadeibbes509e963ffbff91f696d81a62", 
"802ba8b2adabc5796a9471f25b02ae6aeee2439c679a5c33c4bbcee97e081196", 
"eaaf6a048588d9ad4d1c092539bd571dd8af30635c152a3b0e8b611e67d1a1af", 
"e67abc6bd5e2cac169821afc51b207127f42b92a841e976f9b752157879ba8bd", 
"d38985a6adbfd35037cb7776b2dc86797abbb7a06630f5d03df2785d50d5a2ac", 
"45ea0a3f6016d2bb90ab92c34a7aac9767671a8a84b9bcce6c019e60197c134b", 
"c098445d748ced5f178ef2ff96f2758cbec9eb32cbOfce65db313bcacid3bc98f" 

1, 

"time": 1388185914, 

"mediantime": 1388183675, 

"nonce": 924591752, 

"bits": "1903a30c", 

"difficulty": 1180923195.258026, 

"chainwork": "000000000000000000000000000000000000000000000934695e92aaf53afa1a", 
"previousblockhash": "0000000000000002a7bbd25a417c0374cc55261021e8a9ca74442b01284f 05 

69", 

"nextblockhash": "900000000000000010236c269dd6ed714dd5db39d36b33959079d78dfd431ba7" 


该 块 包含 419 笔 交易 ， 列 出 的 第 64 笔 交易 (0627052b ..) 是 Alice 的 咖啡 付款 。 高 度 条 目 告诉 
我 们 这 是 区 块 链 中 的 第 277316 块 。 


3.3.3 使 用 比特 币 核心 的 编程 接口 


bitcoin-cli helper 对 于 探索 Bitcoin Core API 和 测试 功能 非常 有 用 。 但 是 应 用 编程 接口 的 全 部 要 
点 是 以 编程 方式 访问 功能 。 在 本 节 中 ， 我 们 将 演示 从 另 一 个 程序 访问 Bitcoin Core ° 


Bitcoin Core 的 API 是 一 个 JSON-RPC 接 口 。 JSON 代 表 JavaScript 对 象 符号 ， 它 是 一 种 非常 方 
便 的 方式 来 呈现 人 类 和 程序 可 以 轻松 阅读 的 数据 。RPC 代 表 远 程 过 程 调 用 ， 这 意味 着 我 们 通 
过 网 络 协议 调用 远程 (位 于 比特 币 核心 节点 ) OH (BK) 。 在 这 种 情况 下 ， 网 络 协议 是 
HTTPAHTTPS (用 于 加 密 连 接 ) 。 


当 我 们 使 用 bitcoin-cli 命 令 获 取 命 令 的 帮助 时 ， 它 给 了 我 们 一 个 例子 ， 它 使 用 curl， 通 用 的 命令 
行 HTTP 客 户 端 来 构造 这 些 J NN UNA 


$ curl --user myusername --data-binary '{"jsonrpc": "1.0", "id":"curltest", "method": 
"getinfo", "params": [] }' -H 'content-type: text/plain;' http://127.0.0.1:8332/ 


此 命令 显示 curl 向 本 地 主机 (127.0.0.1) 提交 HTTP 请 求 ， 连 接 到 默认 比特 币 端口 (8332) > 
并 使 用 text/ plain 编 码 向 getinfo 方 法 提交 jsonrpc 请 求 。 


如 果 您 在 自己 的 程序 中 实现 JSON-RPC 调 用 ， 则 可 以 使 用 通用 的 HTTP 库 构建 调用 ， 类 似 于 前 
面 的 curl 示 例 所 示 。 


然而 ， 大 多 数 编程 语言 中 都 使 用 库 ， 以 “包装 "比特 币 核心 API 的 方式 使 其 简单 得 多 。 我们 将 使 
用 python-bitcoinlib 库 来 简化 API 访 问 。 请 记 住 ， 这 需要 您 有 一 个 运行 的 Bitcoin Core 实 例 ， 将 
用 于 进行 JSON-RPC 调 用 。 


下 面 的 例子 通 运行 getinfo 中 的 Python 脚本 进行 简单 的 getinfo 调 用 ， 并 从 Bitcoin Core 返 回 的 数 
据 中 打印 区 块 参数 。 


例 3-3 通 过 Bitcoin Core 的 JSON-RPC API 运 行 


link:code/rpc example.py[] 


运行 结果 如 下 : 


$ python rpc example.py 
394075 


它 告 诉 我 们 ， 我 们 的 本 地 Bitcoin Core? & Akt 4 3940753 > 这 不 是 一 个 惊人 的 结 
果 ， 但 它 演示 了 使 用 库 作 为 Bitcoin Core 的 JSON-RPC API 的 简化 接口 的 基本 使 用 。 


来 ， 我 们 使 用 getrawtransaction 和 decodetransaction 调 用 来 检索 Alice 咖 啡 付款 的 详细 信 
。 在 下 面 的 例子 中 ， 我 们 检索 Alice 的 交易 并 列 出 交易 的 输出 。 对 于 每 个 输出 ， 我 们 显示 收 
件 人 地 址 和 值 。 作 为 提醒 ，Alice 的 交易 有 一 个 输出 支付 Bob 的 咖啡 馆 和 一 个 输出 找 回 Alice。 


例 3-4 检 索 交易 并 迭代 其 输出 


link:code/rpc transaction.py[] 


运行 结果 如 下 : 


$ python rpc transaction.py 
([u'1GdK9UzpHBzqzX2A9JFP3Di4weBwqgmoQA'], Decimal('0.01500000' ) ) 
([u'1Cdid9KFAaatwczBwBt tQcwXYCpvK8h7FK'], Decimal('0.08450000' ) ) 


上 述 两 个 例子 都 比较 简单 。 AR E MEE RIB EN; 你 可 以 很 容易 地 使 用 bitcoin- 
cli helper». 然而 ， 下 一 个 示例 需要 数 百 个 RPC 调 用 ， 并 更 清楚 地 说 明了 使 用 编程 接口 的 方 
fg o 


在 时 ， 我 们 首先 检索 块 277316， 然 后 过 引用 每 个 交易 ID 来 检索 每 个 419 个 交易 。 接 下 来 ， 
我 们 迭代 每 个 交易 的 输 eu 。 例 3-5 检 索 块 并 添加 所 有 交易 输出 


link:code/rpc block.py[] 


运行 结果 如 下 : 


$ python rpc block.py 


('Total value in block: ', Decimal('10322.07722534' ) ) 


我 们 的 示例 代码 计算 出 ， 此 块 中 交易 的 总 价值 为 10,322.07722534 个 BTC ( 包括 25 BTC %5 
和 0.0909 BTC M) 。 通过 搜索 块 哈 希 或 高 度 来 比较 区 块 浏览 器 站 点 报告 的 数量 。 一 些 区 块 
浏览 器 报告 不 包括 奖励 的 总 价值 ， 不 包括 交易 费用 。 看 看 是 否 可 以 发 现 差 异 。 


余 了 oer (bitcoind) ， 还 可 以 使 用 其 他 的 客户 端 和 资料 库 去 连接 比特 币 网 络 和 数据 结 
$ 这 些 工具 都 由 一 系列 的 编程 语言 执行 ， 用 他 们 各 自 的 语言 为 比特 币 程序 提供 原生 的 交 
。 以 下 列 出 了 一 部 分 由 编程 语言 组 织 的 一 些 最 好 的 库 ， 客 户 端 和 工具 包 : 


C/C++ 

Bitcoin Core The reference implementation of bitcoin 

libbitcoin Cross-platform C++ development toolkit, node, and consensus library 
bitcoin explorer Libbitcoin’s command-line tool 

picocoin A C language lightweight client library for bitcoin by Jeff Garzik 
JavaScript 

bcoin Amodular and scalable full-node implementation with API 


Bitcore Full node, API, and library by Bitpay 


BitcoinJS A pure JavaScript Bitcoin library for node.js and browsers 
Java 

bitcoinj A Java full-node client library 

Bits of Proof (BOP) A Java enterprise-class implementation of bitcoin 
Python 

python-bitcoinlib A Python bitcoin library, consensus library, and node by Peter Todd 
pycoin A Python bitcoin library by Richard Kiss 

pybitcointools A Python bitcoin library by Vitalik Buterin 

Ruby 

bitcoin-client A Ruby library wrapper for the JSON-RPC API 

Go 

btcd A Go language full-node bitcoin client 

Rust 

rust-bitcoin Rust bitcoin library for serialization, parsing, and API calls 
CH 

NBitcoin Comprehensive bitcoin library for the .NET framework 
Objective-C 

CoreBitcoin Bitcoin toolkit for ObjC and Swift 


更 多 的 库存 在 各 种 其 他 编程 语言 ， 也 会 一 直 更 新 的 。 


你 可 能 听 说 过 比特 币 是 基于 密码 学 ， 这 一 在 计算 机 安全 中 广泛 使 用 的 数学 分 支 。 密码 学 在 希 
腊 语 中 是 “秘密 写作 ”的 意思 ， 但 密码 学 这 门 科学 不 仅 只 包含 被 称 之 为 秘密 写作 的 加 密 学 。 X 
码 学 也 可 以 用 来 证 明 秘密 的 知识 ， 而 不 会 泄露 秘密 (数字 签名 ) ， 或 证 明 数 据 的 丨 实 性 ( 数 
FARA) o 这 些 类 型 的 加 密 证 明 是 比特 币 中 关键 的 数学 工具 并 在 比特 币 应 用 程序 中 被 广泛 使 
用 。 具 有 讽刺 意味 的 是 ， 加 密 不 是 比特 币 的 重要 组 成 部 分 ， 因 为 它 的 通信 和 交易 数据 没有 加 
密 ， 也 不 需要 加 密 来 保护 资金 。 在 本 章 中 ， 我 们 将 介绍 一 些 在 比特 币 中 用 来 控制 资金 的 所 有 
权 的 密码 学 ， 包 括 密 钥 ， 地 址 和 钱包 。 
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比特 币 的 所 有 权 是 通过 数字 密 钥 、 上 比特 币 地 址 和 数字 签名 来 确定 的 。 数 字 密 钥 实 际 上 并 不 存 
储 在 网 络 中 ， 而 是 由 用 户 生成 之 后 ， 存 储 在 一 个 叫做 钱包 的 文件 或 简单 的 数据 库 中 。 存 储 在 
用 户 钱 包 中 的 数字 密 钥 完全 独立 于 比特 币 协议 ， 可 由 用 户 的 钱包 软件 生成 并 管理 ， 而 无 需 参 
照 区 块 链 或 访问 网 络 。 密 钥 实现 了 比特 币 的 许多 有 趣 特性 ， 包 括 去 中 心 化 信任 和 控制 、 所 有 
权 认 证 和 基于 密码 学 证 明 的 安全 模型 。 


大 多 数 比 特 币 交 易 都 需要 一 个 有 效 的 签名 才 会 被 存储 在 区 块 链 。 只 有 有 效 的 密 钥 才能 产生 有 
效 的 数字 签名 ， 因 此 拥有 ~ 密 负 副本 就 拥有 了 对 该 帐户 的 比特 币 的 控制 权 。 用 于 支出 资金 的 数 
字 签 名 也 称 为 见证 (witness) ， 密 码 术 中 使 用 的 术语 。 比特 币 交 易 中 的 见证 数据 证 明了 所 用 
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密 钥 是 成 对 出 现 的 ， 由 一 个 私 钥 和 一 个 公 铀 所 组 成 。 公 铀 就 像 银行 的 帐号 ， 而 私 乌 就 像 控制 
账户 的 PIN 码 或 支票 的 签名 。 比 特 币 的 用 户 很 少 会 直接 看 到 数字 窗 铀 。 一 般 情 况 下 ， 它 们 被 存 
储 在 钱包 文件 肉 ， 由 比特 币 钱 包 软件 进行 管理 。 


在 比特 币 交 易 的 支付 环节 ， 收 件 人 的 公 铀 是 通过 其 数字 指纹 代表 的 ， 称 为 比特 币 地 址 ， 就 像 
支票 上 的 支付 对 象 的 名 字 ( 即 “ 收 款 方 ") 。 一 般 情 况 下 ， 比 特 币 地 址 由 一 个 公 钥 生成 并 对 应 
于 这 个 公 钥 。 然 而 ， 并 非 所 有 比特 币 地 址 都 是 公 钥 ; 他 们 也 可 以 代表 其 他 支付 对 象 ， 壁 如 脚 
本 ， 我 们 将 在 本 章 后 面 提 及 。 这 样 一 来 ， 比 特 币 地 址 把 收 款 方 抽象 起 来 了 ， 使 得 交易 的 目的 
地 更 灵活 ， 就 像 支票 一 样 : 这 个 支付 工具 可 支付 到 个 人 账户 、 公 司 账 户 ， 进 行 账单 支付 或 现 
金 支付 。 比 特 币 地 址 是 用 户 经 常 看 到 的 密 钥 的 唯一 代表 ， 他 们 只 需要 把 比特 币 地 址 告诉 其 他 
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首先 ， 我 们 将 介绍 密码 学 并 解释 在 比特 币 中 使 用 的 数学 知识 。 然 后 我 们 将 了 解密 钥 如 何 被 产 
生 、 存 储 和 管理 。 我 们 将 回顾 用 于 代表 私 钥 和 公 钥 、 地 址 和 脚本 地 址 的 各 种 编码 格式 。 最 
后 ， 我 们 将 讲解 密 钥 和 地 址 的 高 级 用 途 : 比特 币 般 号， 多 重 签名 以 及 脚本 地 址 和 纸钱 包 。 


4.1.1 公 角 加密 和 加 器 货币 


公 角 加密 发 明 于 20 世 纪 70 年 代 。 它 是 计算 机 和 信息 安全 的 数学 基础 。 


自从 公 钥 加密 被 发 明之 后 ， 一 些 合适 的 数学 函数 被 发 现 ， 壁 如 : KR Fe S BW ARIK o 3X 
些 数学 函数 都 是 不 可 逆 的 ， 就 是 说 很 容易 向 一 个 方向 计算 ， 但 不 可 以 向 相反 方向 倒 推 。 基 于 
这 些 数学 函数 的 密码 学 ， 使 得 生成 数字 密 钥 和 不 可 伪造 的 数字 签名 成 为 可 能 。 比 特 币 正 是 使 
用 椭圆 曲线 乘法 作为 其 公 角 加密 的 基础 。 


在 比特 币 系 统 中 ， 我 们 用 公 钥 加 密 创 建 一 个 密 钥 对 ， 用 于 控制 比特 币 的 获取 。 密 钥 对 包括 一 
个 私 钥 ， 和 由 其 衍生 出 的 唯 一 的 公 钥 。 公 和 铀 用 于 接收 比特 币 ， 而 私 钥 用 于 比特 币 支付 时 的 交 
易 签 名 。 


公 乌 和 私 钥 之 间 的 数学 关系 ， 使 得 私 钥 可 用 于 生成 特定 消息 的 签名 。 此 签名 可 以 在 不 泄露 私 
铀 的 同时 对 公 负 进行 验证 。 


支付 比特 币 时 ， 比 特 币 的 当前 所 有 者 需要 在 交易 中 提交 其 公 钥 和 签名 (每 次 交易 的 签名 都 不 
同 ， 但 均 从 同一 个 私 钥 生 成 ) 。 比 特 币 网 络 中 的 所 有 人 都 可 以 通过 所 提交 的 公 钥 和 签名 进行 
验证 ， 并 确认 该 交易 是 否 有 效 ， 即 确认 支付 者 在 该 时 刻 对 所 交易 的 比特 币 拥有 所 有 权 。 


提示 大 多 数 比特 币 钱包 工具 为 了 方便 会 将 私 钥 和 公 钥 以 密 钥 对 的 形式 存储 在 一 起 。 然 而 ， 公 
人 钥 可 以 由 私 钥 计 算得 到 ， 所 以 只 存储 私 钥 也 是 可 以 的 。 
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一 个 比特 币 钱 包 中 包含 一 系列 的 密 钥 对 ， 每 个 密 钥 对 包括 一 个 私 钥 和 一 个 公 钥 。 私 钥 CK) X 
一 个 数字 ， 通 常 是 随机 选 出 的 。 有 了 私 钥 ， 我 们 就 可 以 使 用 椭圆 曲线 乘法 这 个 单 向 加 密 函 数 
产生 一 个 公 钥 (K) -ATAA (K) ， 我 们 就 可 以 使 用 一 个 单 向 加 密 哈 希 函 数 生 成 比特 币 地 
BE (A) 。 在 本 节 中 ， 我 们 将 从 生成 私 钥 开 始 ， 讲 述 如 何 使 用 椭圆 曲线 运算 将 私 钥 生 成 公 
钥 ， 并 最 终 由 公 铀 生成 比特 币 地 址 。 私 铀 、 公 钥 和 比特 币 地 址 之 间 的 关系 如 下 图 所 示 。 
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为 什么 使 用 非 对 称 加 密 (AARAA) ? 

为 什么 在 比特 币 中 使 用 非 对 称 密码 术 ? 它 不 是 用 于 “加 密 ”(make secret) Z He 相反， 非 对 
称 密码 学 的 有 用 属性 是 生成 数字 签名 的 能 力 。 可 以 将 私 钥 应 用 于 交易 的 数字 指纹 以 产生 数字 
签名 。 该 签名 只 能 由 知晓 私 钥 的 人 生成 。 但是， 访问 公 钥 和 交易 指纹 的 任何 人 都 可 以 使 用 它 
们 来 验证 签名 。 这 种 非 对 称 密码 学 的 适用 性 使 得 任何 人 都 可 以 验证 每 笔 交 易 的 每 个 签名 ， 同 
时 确保 只 有 私 钥 的 所 有 者 可 以 产生 有 效 的 签名 。 
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私 钥 就 是 一 个 随机 选 出 的 数字 而 已 。 一 个 比特 币 地 址 中 的 所 有 资金 的 控制 取决 于 相应 私 钥 的 
所 有 权 和 控制 权 。 在 比特 币 交易 中 ， 私 钥 用 于 生成 支付 比特 币 所 必需 的 签名 以 证 明 对 资金 的 
所 有 权 。 私 钥 必 须 始终 保持 机 密 ， 因 为 一 旦 被 泄露 给 第 三 方 ， 相当 于 该 私 钥 保 护 之 下 的 比特 
币 也 拱手 相让 了 “。 私 钥 还 必须 进行 备份 ， 以 防 意外 丢失 ， 因 为 私 钥 一 旦 丢失 就 难以 复原 ， 其 
所 保护 的 比特 币 也 将 永远 丢失 。 


提示 比特 币 私 钥 只 是 一 个 数字 。 你 可 以 用 硬币 、 铅 笔 和 纸 来 随机 生成 你 的 私 钥 : 掷 硬 币 256 
次 ， 用 纸 和 笔记 录 正 反面 并 转换 为 0 和 1， 随 机 得 到 的 256 位 二 进 制 数字 可 作为 比特 币 钱包 的 私 
钥 。 该 私 钥 可 进一步 生成 公 铀 。 


从 一 个 随机 数 生 成 私 钥 生成 密 钥 的 第 一 步 也 是 最 重要 的 一 步 ， 是 要 找到 足够 安全 的 粒 源 ， 即 
随机 性 来 源 。 生 成 一 个 比特 币 私 铀 在 本 质 上 和 与 "在 1 到 2^256 之 间 选 一 个 数字 "无 异 。 只 要 选取 
的 结果 是 不 可 预测 或 不 可 重复 的 ， 那 么 选取 数字 的 具体 方法 并 不 重要 。 比 特 币 软件 使 用 操作 

ARI MEMS RP 2560: 8998 (随机 性 ) 。 通 常情 况 下 ， 操 作 系 统 随 机 数 生 成 器 
由 人 工 的 随机 源 进 行 初 始 化 ， 这 就 是 为 什么 也 可 能 需要 不 停 晃 动 饼 标 几 秒 钟 。 


更 准确 地 说 ， 私 钥 可 以 是 1 和 n-1 之 间 的 任何 数字 ， 其 中 n 是 一 个 常数 (n21.158 * 10^77， 咯 小 
于 2^256) ， 并 被 定义 为 由 比特 币 所 使 用 的 椭圆 曲线 的 阶 〈 见 椭圆 曲线 密码 学 解释 ) 。 要 生成 
这 样 的 一 个 私 钥 ， 我 们 随机 选择 一 个 256 位 的 数字 ， 并 检查 它 是 否 小 于 n-1。 从 编程 的 角度 来 

看 ， 一 般 是 通过 在 一 个 密码 学 安全 的 随机 源 中 取出 一 长 串 随 机 字 节 ， 对 其 使 用 SHA256 哈 希 算 
法 进行 运算 ， 这 样 就 可 以 方便 地 产生 一 个 256 位 的 数字 。 如 果 运 算 结果 小 于 n-1， 我 们 就 有 了 

一 个 合适 的 私 钥 。 否 则 ， 我 们 就 用 另 一 个 随机 数 再 重复 一 次 。 


警告 不 要 自己 号 代码 或 使 用 你 的 编程 语言 提供 的 简易 随机 数 生成 器 来 获得 一 个 随机 数 。 使 用 
密码 学 安全 的 伪 随 机 数 生成 器 (CSPRNG) ， 并 且 需 要 有 一 个 来 自 具有 足够 炉 值 的 源 的 种 
子 。 使 用 随机 数 发 生 器 的 程序 库 时 ， 需 仔细 研读 其 文档 ， 以 确保 它 是 加 密 安 全 的 。 正 确实 施 
CSPRNG 是 密 铀 安全 性 的 关键 所 在 。 


以 下 是 一 个 随机 生成 的 私 钥 (k) ， 以 十 六 进 制 格式 表示 (256 位 的 二 进 制 数 ， 以 64 位 十 六 进 
制 数 显示 ， 每 个 十 六 进 制 数 占 4 位 ) 


1E99423A4ED27608A15A2616A2B0E9E52CED330AC530EDCC32C8FFC6A526AEDD 


提示 比特 币 私 钥 空 间 的 大 小 是 2^256， 这 是 一 个 非常 大 的 数字 。 用 十 进 制 表示 的 话 ， 大 约 是 
10^77， 而 可 见 宇宙 被 估计 只 含有 10^80 个 原子 。 


要 使 用 比特 币 核心 客户 端 生 成 一 个 新 的 密 钥 ， 可 使 用 getnewaddress 命令 。 出 于 安全 考虑 ， 
命令 运行 后 只 显示 生成 的 公 钥 ， 而 不 显示 私 钥 。 如 果 要 bitcoind 显 示 私 铀 ， 可 以 使 用 
dumpprivkey 命令 。 dumpprivkey 命令 会 把 私 钥 以 Base58 校 验 和 编码 格式 显示 ， 这 种 私 钥 格 
式 被 称 为 钱包 导入 格式 (WIF > Wallet Import Format) ， 在 “ 私 钥 的 格式 "一 节 有 详细 讲解 。 下 
面 给 出 了 使 用 这 两 个 命令 生成 和 显示 私 钥 的 例子 : 


$ bitcoin-cli getnewaddress 1J7mdg5rbQyUHENYdx39WVWKT7fsLpEoXZy $ bitcoin-cli 
dumpprivkey 1J7mdg5rbQyUHENYdx39WVWK7fsLpEoXZy 
KxFC1jmwwCoACiCAWZ3eXa96mBMGtb3TYzGmf6YwgdGWZgawvrtJ 


dumpprivkey 命令 打开 钱包 提取 由 getnewaddress 命令 生成 的 私 铀 。 除 非 密 钥 对 都 存储 在 钱 
包 里 ， 和 否则 bitcoind 的 并 不 能 从 公 钥 得 知 私 钥 。 dumpprivkey 命令 才 有 效 。 


提示 dumpprivkey 命 令 无 法 从 公 铀 得 到 对 应 的 私 钥 ， 因 为 这 是 不 可 能 的 。 这 个 命令 只 是 显示 
钱包 中 已 有 也 就 是 由 getnewaddress 命 令 生 成 的 私 钥 。 


您 还 可 以 使 用 Bitcoin Explorer 命 令 行 工 具 (请 参阅 附录 中 的 [appdx_bx]) 使 用 命令 seed ，ec- 
new 和 ec-to-wif 生 成 和 显示 私 钥 : 


$ bx seed | bx ec-new | bx ec-to-wif 
5J3mBbAH58CpQ3Y5RNJpUKPEG62SQb5tfcvU2JpbnkeyhfsYB 1Jcn 
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通过 顶 圆 曲线 乘法 可 以 从 私 钥 计算 得 到 公 铀 ， 这 是 不 可 逆转 的 过 程 : K=k*G 。 其 中 k 是 私 
钥 ，G 是 被 称 为 生成 点 的 常数 点 ， 而 K 是 所 得 公 钥 。 其 反 向 运算 ， 被 称 为 “寻找 离散 对 数 ” 一 一 
已 知 公 角 K 来 求 出 私 钥 Kk 一 一 是 非常 困难 的 ， 就 像 去 试验 所 有 可 能 的 k 值 ， 即 暴力 搜索 。 在 演示 
如 何 从 私 钥 生成 公 角 之前， 我 们 先 稍微 详细 学 习 下 椭圆 曲线 密码 学 。 


提示 栅 圆 曲线 乘法 是 密码 学 家 称 之 为 "陷阱 门 " 功 能 的 一 种 函数 : 在 一 个 方向 (乘法 ) 很 容易 
做 ， 而 不 可 能 在 相反 的 方向 (除法 ) he 私 钥 的 所 有 者 可 以 容易 地 创建 公 钥 ， 然 后 与 世界 共 
享 ， 知 道 没 有 人 可 以 从 公 铀 中 反 转 函数 并 计算 出 私 钥 。 这 个 数学 技巧 成 为 证 明 比 特 币 资金 所 
有 权 的 不 可 伪造 和 安全 的 数字 签名 的 基础 。 


4.1.5 椭圆 曲线 密码 学 (Elliptic Curve Cryptography) 解释 


椭圆 曲线 加 密 法 是 一 种 基于 离散 对 数 问 题 的 非 对 称 加 密 法 ， 可 以 用 对 椭圆 曲线 上 的 点 进行 加 
法 或 乘法 运算 来 表达 。 下 图 是 一 个 椭圆 曲线 的 示例 ， 类 似 于 比特 币 所 用 的 曲线 。 


比特 币 使 用 了 secp256k1 标 准 所 定义 的 一 种 特殊 的 椭圆 曲线 和 一 系列 数学 常数 。 该 标准 由 美国 
国家 标准 与 技术 研究 院 (NIST) 设立 。secp256k1 曲 线 由 下 述 函 数 定义 ， 该 函数 可 产生 一 条 
椭圆 曲线 : 


y? = (x? + 7)} over (Fp) 

或 

y? mod p = (8 + 7) mod p 
-E3&mod p (素数 p 取 模 ) 表明 该 曲线 是 在 素数 阶 p 的 有 限 域内 ， 也 写作 Fp， 其 中 p = 24256 - 
2432 — 249 — 248 — 2^7 — 2^6 - 24 一 1， 这 是 个 非常 大 的 素数 。 因为 这 条 曲线 被 定义 在 一 个 


素数 阶 的 有 限 域内 ， 而 不 是 定义 在 实数 范围 ， 它 的 函数 图 像 看 起 来 像 分 散在 两 个 维度 上 的 散 
落 的 点 ， 因 此 很 难 可 视 化 。 不 过 ， 其 中 的 数学 原理 与 实数 范围 的 椭圆 曲线 相似 。 作 为 一 个 例 


子 ， 下 图 显示 了 在 一 个 小 了 很 多 的 素数 阶 17 的 有 限 域内 的 椭圆 曲线 ， 其 形式 为 网 格 上 的 一 系 
列 散 点 。 而 secp256k1 的 比特 币 椭 圆 曲 线 可 以 被 想象 成 一 个 极 大 的 网 格 上 一 系列 更 为 复杂 的 散 
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下 面 举 一 个 例子 ， 这 是 secp256k1 曲线 上 的 点 P， 其 坐标 为 (X，y)。 可 以 使 用 Python 对 其 检 
验 : 


P = (55066263022277343669578718895168534326250603453777594175500187360389116729240, 
32670510020758816978083085130507043184471273380659243275938904335757337482424) 


在 椭圆 曲线 的 数学 原理 中 ， 有 一 个 点 被 称 为 “无 穷 远 点 "， 这 大 致 对 应 于 0 在 加 法 中 的 作用 。 计 
算 机 中 ， 它 有 时 表示 为 X=Y =0 (虽然 这 不 满足 椭圆 曲线 方程 ， 但 可 作为 特殊 情况 进行 检 
He) 。 

还 有 一 个 + 运算 符 ， 被 称 为 “< 加 法 *”， 就 像 小 学 数学 中 的 实数 相 加 。 给 定 椭 圆 曲 线 上 的 两 个 点 
P1 和 P2， 则 椭圆 曲线 上 必定 有 第 三 点 P3 = P1+ P2。 几何 图 形 中 ， 该 第 三 点 P3 可 以 在 P1 和 
P2 之 间 画 一 条 线 来 确定 。 这 条 直线 恰好 与 椭圆 曲线 相交 于 另外 一 个 地 方 。 此 点 记 为 P3'= (x? 
y)。 然 后 ， 在 X 轴 做 翻 折 获得 P3=(x，-y)。 


下 面 是 几 个 可 以 解释 “ 穷 远 点 "之 存在 需要 的 特殊 情况 。 


zx P1 和 P2 是 同一 点 ，P1 和 P2 间 的 连 线 则 为 点 P1 的 切线 。 曲 线 上 有 且 只 有 一 个 新 的 点 与 该 
切线 相交 。 该 切线 的 斜率 可 用 微 积 分 求 得 。 即 使 限制 曲线 点 为 两 个 整数 坐标 也 可 求 得 斜率 |! 
在 某 些 情况 下 〈 即 ， 如 果 P1 和 P2 具 有 相同 的 X 值 ， 但 不 同 的 y 值 ) ， 则 切线 会 完全 重 直 ， 在 这 
种 情况 下 ，P3 = “无 穷 远 点 ”。 

PIREA AA” > MAAF P1 + P2= P2。 类 似 地 ， 当 P2 是 无 穷 远 点 ， 则 P1+ P2 = P1 。 
这 就 是 把 无 穷 远 点 类 似 于 0 的 作用 。 事实 证 明 ， 在 这 里 + 运算 符 遵守 结合 律 ， 这 意味 着 
(A*B)*C = A+(B+C)。 这 就 是 说 我 们 可 以 直接 不 加 括号 书写 A+B+C， 而 不 至 于 混淆 。 
此 ， 我 们 已 经 定义 了 椭圆 加 法 ， 我 们 可 以 对 乘法 用 拓展 加 法 的 标准 方法 进行 定义 。 给 定 椭 辆 
曲线 上 的 点 P， 如 果 k 是 整数 ， 则 kP=P+P+P+...+P (kK) 。 注 意 ， 在 这 种 情况 下 k 有 时 
被 混淆 而 称 为 “指数 ”。 


4.1.6 + X 2-4 


以 一 个 随机 生成 的 私 钥 k 为 起 点 ， 我 们 将 其 与 曲线 上 预定 的 生成 点 G 相 乘 以 获得 曲线 上 的 另 一 
点 ， 也 就 是 相应 的 公 钥 K。 生 成 点 是 Secp256k1 标 准 的 一 部 分 ， 比 特 币 密 钥 的 生成 点 都 是 相同 
ay: 


(K-k*G 


其 中 Kk 是 私 钥 ，G 是 生成 点 ， 在 该 曲线 上 所 得 的 点 K 是 公 钥 。 因 为 所 有 比特 币 用 户 的 生成 点 是 
相同 的 ， 一 个 私 钥 k 乘 以 G 将 得 到 相同 的 公 钥 K。k 和 K 之 间 的 关系 是 国定 的 ， 但 只 能 单 向 运 
算 ， 即 从 K 得 到 K。 这 就 是 可 以 把 比特 币 地 址 (K 的 衍生 ) 与 任何 人 共享 而 不 会 泄露 私 钥 (Kk) 
的 原因 。 


提示 因为 其 中 的 数学 运算 是 单 向 的 ， 所 以 私 钥 可 以 转换 为 公 钥 ， 但 公 铀 不 能 转换 回 私 铀 。 
为 实现 椭圆 曲线 乘法 ， 我 们 以 之 前 产生 的 私 钥 Kk 和 与 生成 点 G 相 乘 得 到 公 乌 K : 


K= 
1E99423A4ED27608A15A2616A2B0E9E52CED330AC530EDCC32C8FFC6A526AEDD * G 


公 角 KK 被 定义 为 一 个 点 KK = (x, y): 


K = (x, y) 


x = F028892BAD7ED57D2FB57BF33081D5CFCF6F9ED3D3D7F 159C2E2FFF579DC341A 
y = 07CF33DA18BD734C600B96A72BBC4749D5141 C90EC8AC328AE52DDFE2E505BDB 
为 了 展示 整数 点 的 乘法 ， 我 们 将 使 用 较为 简单 的 实数 范围 的 椭圆 曲线 。 请 记 住 ， 其 中 的 数学 
原理 是 相同 的 。 我 们 的 目标 是 找到 生成 点 G 的 倍数 kG。 也 就 是 将 G 相 加 kK 次 。 在 椭圆 曲线 中 ， 
点 的 相 加 等 同 于 从 该 点 画 切 线 找到 与 曲线 相交 的 另 一 点 ， 然 后 翻 折 到 X 轴 。 


下 图 显示 了 在 曲线 上 得 到 G、2G、4G 的 几何 操作 。 
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提示 大 多 数 比 特 币 程 序 使 用 OpenSSL 加 密 库 进行 椭圆 曲线 计算 。 例 如 ， 调 用 
EC POINT mul() Rž > * it 4512-48 » 


4.2 比特 币 地 址 


比特 币 地 址 是 一 个 由 数字 和 字母 组 成 的 字符 串 ， 可 以 与 任何 想 给 你 比特 币 的 人 分 享 。 由 公 铀 
(一 个 同样 由 数字 和 字母 组 成 的 字符 囊 ) 生成 的 比特 币 地 址 以 数字 “1 开头。 下面 是 一 个 比特 
币 地 址 的 例子 : 

1J7mdg5rbQyUHENYdx39WVWKTfsLpEoXZy 

在 交易 中 ， 比 特 币 地 址 通常 以 收 款 方 出 现 。 如 果 把 比特 币 交 易 比 作 一 张 支票 ， 比 特 币 地 址 就 
是 收 款 人 ， 也 就 是 我 们 要 写 入 收 款 人 一 栏 的 内 容 。 一 张 支票 的 收 款 人 可 能 是 某 个 银行 账户 ， 
也 可 能 是 某 个 公司 、 机 构 ， 其 至 是 现金 支票 。 支 票 不 需要 指定 一 个 特定 的 账户 ， 而 是 用 一 个 
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抽象 的 名 字 作 为 收 款 人 ， 这 使 它 成 为 一 种 相当 灵活 的 支付 工具 。 与 此 类 似 ， 比 特 币 地 址 使 用 
类 似 的 抽象 ， 也 使 比特 币 交 易 变 得 很 灵活 。 比 特 币 地 址 可 以 代表 一 对 公 钥 和 私 钥 的 所 有 者 ， 
也 可 以 代表 其 它 东西 ， 比 如 会 在 后 面 的 *P2SH (Pay-to-Script-Hash)" 一 节 讲 到 的 付款 脚本 。 
现在 ， 让 我 们 来 看 一 个 简单 的 例子 ， 由 公 钥 生成 比特 币 地 址 。 


比特 币 地 址 可 由 公 铀 经 过 单 向 的 加 密 哈 希 算法 得 到 。 哈 希 算法 是 一 种 单 向 函数 ， 接 收 任意 长 
度 的 输入 产生 指纹 或 哈 希 。 加 密 哈 希 函数 在 比特 币 中 被 广泛 使 用 : 比特 币 地 址 、 脚 本 地 址 以 
及 在 挖 矿 中 的 工作 量 证 明 算 法 。 由 公 钥 生成 比特 币 地 址 时 使 用 的 算法 是 Secure Hash 
Algorithm (SHA) 和 the RACE Integ rity Primitives Evaluation Message Digest (RIPEMD) > Æ 
体 地 说 是 SHA256 和 RIPEMD160 。 


以 公 钥 K 为 输入 ， 计 算 其 SHA256 哈 希 值 ， 并 以 此 结果 计算 RIPEMD160 哈 希 值 ， 得 到 一 个 长 
度 为 160 位 (205 3) WRF: 


A= RIPEMD160(SHA256(K)) 
公式 中 ，K 是 公 钥 ，A 是 生成 的 比特 币 地 址 。 
提示 比特 币 地 址 与 公 钥 不 同 。 比 特 币 地 址 是 由 公 铀 经 过 单 向 的 哈 希 函数 生成 的 。 


通常 用 户 见 到 的 比特 征地 址 是 经 过 “Base58Check” 编 码 的 (参见 “Base58 和 Base58Check 编 

码 " 一 节 ) ， 这 种 编码 使 用 了 58 个 字符 (一 种 Base58 数 字 系 统 ) 和 校 验 码 ， 提 高 了 可 读 性 、 

避免 歧义 并 有 效 防 止 了 在 地 址 转录 和 输入 中 产生 的 错误 。Base58Check 编 码 也 被 用 于 比特 币 
的 其 它 地 方 ， 例 如 上 比特 币 地 址 、 私 钥 、 加 密 的 密 钥 和 脚本 哈 希 中 ， 用 来 提高 可 读 性 和 录入 的 

正确 性 。 下 一 节 中 我 们 会 详细 解释 Base58Check 的 编码 和 解码 机 制 ， 以 及 它 产生 的 结果 。 


下 图 描述 了 如 何 从 公 铀 生成 比特 币 地 址 。 
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4.2.1 Base587#-Base58Check “A £5 


为 了 更 简洁 方便 地 表示 长 串 的 数字 ， 使 用 更 少 的 符号 ， 许 多 计算 机 系统 会 使 用 一 种 以 数字 和 
字母 组 成 的 大 于 十 进 制 的 表示 法 。 例 如 ， 传 统 的 十 进 制 计数 系统 使 用 0-9 十 个 数字 ， 而 十 六 进 
制 系统 使 用 了 额外 的 A-F 六 个 字母 。 一 个 同样 的 数字 ， 它 的 十 六 进 制 表 示 就 会 比 十 进 制 表示 
更 短 。 甚 至 更 加 简洁 ，Base64 使 用 了 26 个 小 写字 母 、26 个 大 写字 母 、10 个 数字 以 及 两 个 符号 
( 例 do" fa"). ， 用 于 在 电子 邮件 这 样 的 基于 文本 的 媒介 中 传输 二 进 制 数据 。Base64 通 常用 
于 编码 邮件 中 的 附件 。Base58 是 一 种 基于 文本 的 二 进 制 编码 格式 ， 用 在 比特 币 和 其 它 的 加 密 


货币 中 。 这 种 编码 格式 不 仅 实现 了 数据 压缩 ， 保 持 了 易 读 性 ， 还 具有 错误 诊断 功能 。Base58 
是 Base64 编 码 格式 的 子 集 ， 同 样 使 用 大 小 写字 母 和 10 个 数字 ， 但 舍弃 了 一 些 容易 错 读 和 在 特 
定 字体 中 容易 混淆 的 字符 。 具 体 地 ，Base58 不 含 Base64 中 的 0〈 数 字 0) ^O (大写 字母 

o) ^I (小 写字 母 L) 、1 (大 写字 母 j) ， 以 及 “+"” 和 “两 个 字符 。 简 而 言 之 ，Base58 就 是 由 不 
包括 (0，O，1，1) 的 大 小 写字 母 和 数字 组 成 。 


例 4-1 比特 币 的 Base58 字 母 表 
123456789ABCDEFGHJKLMNPQRSTUVWXXYZabcdefghijkmnopqrstuvwxyz 


为 了 增加 防止 打印 和 转录 错误 的 安全 性 ，Base58Check 是 一 种 常用 在 比特 币 中 的 Base58 编 码 
格式 ， 比 特 币 有 内 置 的 检查 错误 的 编码 。 检 验 和 是 添加 到 正在 编码 的 数据 末端 的 额外 4 个 字 
节 。 校 验 和 是 从 编码 的 数据 的 哈 希 值 中 得 到 的 ， 所 以 可 以 用 来 检测 并 避免 转录 和 输入 中 产生 
的 错误 。 使 用 Base58check 编 码 时 ， 解 码 软件 会 计算 数据 的 校 验 和 并 和 编码 中 自 带 的 校 验 和 
进行 对 比 。 二 者 不 匹配 则 表明 有 错误 产生 ， 那 么 这 个 Base58Check 的 数据 就 是 无 效 的 。 一 个 
错误 比特 币 地 址 就 不 会 被 钱包 软件 认为 是 有 效 的 地 址 ， 否 则 这 种 错误 会 造成 资金 的 丢失 。 


为 了 将 数据 (数字 ) 转换 成 Base58Check 格 式 ， 首 先 我 们 要 对 数据 添加 一 个 称 作 “版 本 字 节 ”的 
前 级 ， 这 个 前 级 用 来 识别 编码 的 数据 的 类 型 。 例 如 ， 比 特 币 地 址 的 前 组 是 0 (十 六 进 制 是 
Ox00) ， 而 对 私 钥 编码 时 前 组 是 128 (十 六 进 制 是 0x80) 。 表 4-1 会 列 出 一 些 常见 版 本 的 前 


级 。 


接 下 来 ， 我 们 计算 “ 双 哈 项 " 校 验 和 ， 意 味 着 要 对 之 前 的 结果 (前 级 和 数据 ) 运行 两 次 SHA256 
哈 希 算法 : 


checksum = SHA256(SHA256(prefix+data)) 

在 产生 的 长 32 个 字 节 的 哈 希 值 〈 两 次 哈 希 运算 ) 中 ， 我 们 只 取 前 4 个 字 节 。 这 4 个 字 节 就 作为 
检验 错误 的 代码 或 者 校 验 和 。 校 验 码 会 添加 到 数据 之 后 。 

结果 由 三 部 分 组 成 : 前 级 、 数 据 和 校 验 和 。 这 个 结果 采用 之 前 描述 的 Base58 字 母 表 编码 。 下 
图 描述 了 Base58Check 编 码 的 过 程 。 
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在 比特 币 中 ， 大 多 数 需要 向 用 户 展示 的 数据 都 使 用 Base58Check 编 码 ， 可 以 实现 数据 压缩 ， 
钨 读 而 且 有 错误 检验 。 Base58Check 编 码 中 的 版 本 前 缓 是 用 来 创造 易于 辨别 的 格式 ， 在 
Base58 里 的 格式 在 Base58Check 编 码 的 有 效 载荷 的 开始 包含 了 明确 的 属性 。 这 些 属性 使 用 户 
可 以 轻松 明确 被 编码 的 数据 的 类 型 以 及 如 何 使 用 它们 。 例 如 我 们 可 以 看 到 他 们 的 不 同 ， 
Base58Check 编 码 的 比特 币 地 址 是 以 1 开头 的 ， 而 Base58Check 编 码 的 私 钥 WIF 是 以 5 开头 

的 。 表 4-1 展 示 了 一 些 版 本 前 级 和 他 们 对 应 的 Base58 格 式 。 





表 4-1 Base58Check 版 本 前 级 和 编码 后 的 结果 


Type 


Bitcoin Address 


Pay-to-Script-Hash Address 


Bitcoin Testnet Address 


Private Key WIF 


BIP-38 Encrypted Private Key 


BIP-32 Extended Public Key 


我 们 回顾 上 比特 币 地 址 产生 的 完整 过 程 ， 从 私 钥 、 到 公 和 角 (WAALA) 


Version prefix (hex) 


Ox00 


0x05 


Ox6F 


0x80 


0x0142 


0x0488B21E 


Base58 result prefix 


1 


morn 


o Kon 


6P 


xpub 


希 的 地 址 ， 到 最 终 的 Base58Check 编 码 。 例 4-3 的 C++ 代码 完整 详细 的 展示 了 从 私 钥 到 


Base58Check 编 码 后 的 比特 币 地 址 的 步 又。 代码 中 使 用 "3.3 其 他 客户 端 、 


"一 节 中 介绍 的 libbitcoin library 来 实现 某 些 辅助 功能 。 


例 4-3. 从 私 钥 中 创建 Base58Check 编 码 的 比特 币 地 址 


link:code/addr.cpp[] 


资料 库 、 工 具 包 


代码 使 用 预定 义 的 私 钥 在 每 次 运行 时 产生 相同 的 比特 币 地 址 ， 如 下 例 所 示 


例 4-3. 编 译 并 运行 addr 代 码 


Compile the addr.cpp code $ g++ -o addr addr.cpp $(pkg-config --cflags --libs libbitcoin) Run 


the addr executable $ ./addr Public key: 


0202a406624211f2abbdc68da3df929f938c3399dd7 9fac1b51b0e4ad1d26a47aa Address: 


1PRTTaJesdNovgne6Ehcdu1fpEdX7913CK 


4.2.2 密 钥 的 格式 


公 钥 和 私 钥 的 都 可 以 有 多 种 格式 。 一 个 密 铀 被 不 同 的 格式 编码 后 ， 虽 然 结果 看 起 来 可 能 不 


同 ， 但 是 密 钥 所 编码 数字 并 没有 改变 


和 识别 密 钥 。 


4.2.2.1 私 钥 的 格式 


。 这 些 不 同 的 编码 格式 主要 是 用 来 方便 人 们 无 误 地 使 用 


、 再 到 两 次 哈 


私 钥 可 以 以 许多 不 同 的 格式 表示 ， 所 有 这 些 都 对 应 于 相同 的 256 位 的 数字 。 表 4-2 展 示 了 私 铀 
的 三 种 常见 格式 。 不 同 的 格式 用 在 不 同 的 场景 下 。 十 六 进 制 和 原始 的 二 进 制 格式 用 在 软件 的 
内 部 ， 很 少 展示 给 用 户 看 。WIF 格 式 用 在 钱包 之 间 密 钥 的 输入 和 输出 ， 也 用 于 代表 私 钥 的 二 维 
码 (条 形 码 ) e 


Type Prefix Description 


Raw None 32 bytes 
Hex None 64 hexadecimal digits 
WIF 5 Base58Check encoding: Base58 with version prefix of 128- and 32-bit checksum 


WIF-compressed KorL As above, with added suffix 0x01 before encoding 


R4-3 示例 : 同样 的 私 钥 ， 不 同 的 格式 


Format Private key 
Hex 1e99423a4ed27608a15a2616a2b0e9e52ced330ac530edcc32c8ffc6a526aedd 
WIF 5)3mBbAH58CpQ3YSRNJpUKPE62SQ5tfcvU2)pbnkeyhfsYB 1Jcn 


WIF-compressed © KxFC1jmwwCoACiCAWZ3eXa96mBM6tb3TYzGmf6YwgdGWZgawvrt) 


这 些 表示 法 都 是 用 来 表示 相同 的 数字 、 相 同 的 私 钥 的 不 同方 法 。 虽 然 编 码 后 的 字符 串 看 起 来 
不 同 ， 但 不 同 的 格式 彼此 之 间 可 以 很 容易 地 相互 转换 。 请 注意 ，“raw binary" 未 显示 在 表 4-3 
示例 中 ， 根 据 定义 此 处 显示 的 任何 编码 的 格式 ， 不 是 raw binary 数 据 。 


我 们 使 用 Bitcoin Explorer 中 的 wif-to-ec 命 令 (请 参阅 [appdx_bx]) 来 显示 两 个 WIF 键 代表 相同 
的 私 钥 : 


$ bx wif-to-ec 5J3mBbAH58CpQ3Y5RNJpUKPE62SQ5tfcvU2JpbnkeyhfsYB1Jcn 
1e99423a4ed27608a15a2616a2b0e9e52ced330ac530edcc32c8ffc6a526aedd 
$ bx wif-to-ec KxFC1jmwwCoACiCAWZ3eXa96mBM6tb3TYzGmf6YwgdGWZgawvrtJ 


1e99423a4ed27608a15a2616a2b0e9e52ced330ac530edcc32c8ffc6a526aedd 

4.2.3). Base58Check/£ 2 

Bitcoin Moa 命令 es P ii 编 hel gia 命令 行 “ 管 道 " 变 得 容易 ， 这 些 方 
Eq 


ee 


我 们 使 用 base58check-decode 命 令 解码 未 压缩 的 密 钥 : 


$ bx base58check-decode 
5J3mBbAH58CpQ3Y5RNJpUKPEG62SQb5tfcvU2JpbnkeyhfsYB 1Jcn 


wrapper 


{ 


checksum 4286807748 
payload 1e99423a4ed27608a815a2616a2b0e9e52ced330ac530edcc32c8f fc6a526aedd 
version 128 


结果 包含 密 钥 作为 有 效 载荷 ，WIF 版 本 前 级 128 和 校 验 和 。 
请 注意 ， 压 缩 密 钥 的 “有 效 负 载 " 附 加 了 后 级 01， 表 示 导 出 的 公 钥 要 压缩 : 


$ bx base58check-decode 
KxFC1jmwwCoACIiCAWZ3eXa96mBMGtb3TYzGmf6YwgdGWZgawvrtJ 


wrapper { 


checksum 2339607926 
payload 1e99423a4ed27608a815a2616a2b0e9e52ced330ac530edcc32c8ffc6a526aedd01 
version 128 


} 
将 十 六 进 制 转换 为 Base58Check 编 码 


要 转换 成 Base58Check (与 上 一 个 命令 相反 ) ， 我 们 使 用 Bitcoin Explorer 的 base58check- 
encode 命 令 (请 参阅 [appdx_bx]) ， 并 提供 十 六 进 制 私 钥 ， 其 次 是 WIF 版 本 前 级 128 : 


bx base58check-encode 
1e99423a4ed27608a15a2616a2b0e9e52ced330ac530edcc32c8ffc6a526aedd --version 128 


5J3mBbAH58CpQ3Y5RNJpUKPEG62SQb5tfcvU2JpbnkeyhfsYB 1Jcn 
将 十 六 进 制 (BABA) 转换 为 Base58Check 编 码 


要 将 压缩 格式 的 私 钥 编 码 为 Base58Check (参见 “压缩 格式 私 钥 "一 节 ) ， 我 们 需 在 十 六 进 制 私 
钥 的 后 面 添加 后 级 01， 然 后 使 用 跟 上 面 一 样 的 方法 : 


$ bx base58check-encode 
1e99423a4ed27608a15a2616a2b0e9e52ced330ac530edcc32c8ffc6a526aedd01 --version 
128 


KxFC1jmwwCoACIiCAWZ3eXa96mBMGtb3TYzGmf6YwgdGWZgawvrtJ 


生成 的 WIF 压 缩 格 式 的 私 钥 以 字母 “K? 开 头 ， 用 以 表明 被 编码 的 私 钥 有 一 个 后 缓 “01”， 且 该 私 
钥 只 能 被 用 于 生成 压缩 格式 的 公 钥 (参见 “压缩 格式 公 负 ”一 节 ) 。 


4.2.3.1 公 钥 的 格式 


公 角 也 可 以 用 多 种 不 同 格 式 来 表示 ， 最 重要 的 是 它们 分 为 非 压缩 格式 或 压缩 格式 公 钥 这 两 种 
形式 。 


我 们 从 前 文 可 知 ， 公 钥 是 在 椭圆 曲线 上 的 一 个 点 ， 由 一 对 坐标 (xc y) 组 成 。 公 铀 通常 表示 
为 前 级 04 紧 接着 两 个 256 比 特 的 数字 。 其 中 一 个 256 比 特 数字 是 公 负 的 x 坐标 ， 另 一 个 256 比 特 
数字 是 y 坐 标 。 前 级 04 是 用 来 区 分 非 压缩 格式 公 钥 ， 压 缩 格式 公 负 是 以 02 或 者 03 开 头 。 


下 面 是 由 前 文中 的 私 钥 所 生成 的 公 钥 ， 其 坐标 X 和 y 如 下 : 
x = F028892BAD7ED57D2FB57BF33081D5CFCF6F9ED3D3D7F159C2bE2FFF579DC341A 
y = O7CF33DA18BD734C600B96A72BBCA4749D5141C90EC8AC328AE52DDF E2E505BDB 


下 面 是 同样 的 公 铀 以 520 比 特 的 数字 (130 个 十 六 进 制 数字 ) 来 表达 。 这 个 520 比 特 的 数字 以 
前 级 04 开 头 ， 紧 接着 是 x 及 y 坐标 ， 组 成 格式 为 04 Xy : 


Kz 
04F028892BAD7ED57D2FB57BF33081D5CFCF6F9ED3D3D7F 159C2E2FFF579DC341A0 
7CF33DA18BD734C600B96A72BBC4749D5141C90EC8AC328AE 52DDFE2E505BDB 


4.2.3.2/5 4678 LAA 


引入 压缩 格式 公 钥 是 为 了 减少 比特 币 交易 的 字 节 数 ， 从 而 可 以 节省 那些 运行 区 块 链 数据 库 的 
节点 磁盘 空间 。 大 部 分 比特 币 交易 包含 了 公 钥 ， 用 于 验证 用 户 的 凭据 和 支付 比特 币 。 每 个 公 
钥 有 520 比 特 (包括 前 级 ，X 坐 标 ，y 坐 标 ) 。 如 果 每 个 区 块 有 数 百 个 交易 ， 每 天 有 成 千 上 万 的 
交易 发 生 ， 区 块 链 里 就 会 被 写 入 大 量 的 数据 。 


正如 我 们 在 “4.1.4 公 铀 "一 节 所 见 ， 一 个 公 铀 是 一 个 椭圆 曲线 上 的 点 (X, y)。 而 椭圆 曲线 实际 是 
一 个 数学 方程 ， 曲 线 上 的 点 实际 是 该 方程 的 一 个 解 。 因 此 ， 如 果 我 们 知道 了 公 铀 的 X 坐 标 ， 就 
可 以 通过 解 方程 y2 mod p = (x3 + 7) mod p 得 到 y 坐 标 。 这 种 方案 可 以 让 我 们 只 存储 公 角 的 x 
坐标 ， 略 去 y 坐 标 ， 从 而 将 公 铀 的 大 小 和 存储 空间 减少 了 256 比 特 。 每 个 交易 所 需要 的 字 节 数 
减少 了 近 一 半 ， 随 着 时 间 推 移 ， 就 大 大 节省 了 很 多 数据 传输 和 存储 。 


未 压缩 格式 公 铀 使 用 04 作 为 前 级 ， 而 压缩 格式 公 钥 是 以 02 或 03 作 为 前 级 。 需 要 这 两 种 不 同 前 
级 的 原因 是 : 因为 椭圆 曲 线 加 密 的 公式 的 左边 是 y2 ， 也 就 是 说 y 的 解 是 来 自 于 一 个 平方 根 ， 
可 能 是 正 值 也 可 能 是 负 值 。 更 形象 地 说 ，y 坐 标 可 能 在 X 坐 标 轴 的 上 面 或 者 下 面 。 从 图 4-2 的 椭 
圆 曲 线 图 中 可 以 看 出 ， 曲 线 是 对 称 的 ， 从 X 轴 看 就 像 对 称 的 镜子 两 面 。 因 此 ， 如 果 我 们 略 去 y 
坐标 ， 就 必须 储存 y 的 符号 ( 正 值 或 者 负 值 ) 。 换 名 话说 ， 对 于 给 定 的 X 值 ， 我 们 需要 知道 yY 值 
在 X 轴 的 上 面 还 是 下 面 ， 因 为 它们 代表 椭圆 曲线 上 不 同 的 点 ， 即 不 同 的 公 铀 。 当 我 们 在 素数 p 


阶 的 有 限 域 上 使 用 二 进 制 算术 计算 椭圆 曲线 的 时 候 ，y 坐 标 可 能 是 奇数 或 者 偶数 ， 分 别 对 应 前 
面 所 讲 的 y 值 的 正 负 符号 。 因 此 ， 为 了 区 分 y 坐 标的 两 种 可 能 值 ， 我们 在 生成 压缩 格式 公 钠 

时 ， 如 果 y 是 偶数 ， 则 使 用 02 作 为 前 级 ; 如 果 y 是 奇数 ， 则 使 用 03 作 为 前 级 。 这 样 就 可 以 根据 
公 钥 中 给 定 的 x 值 ， 正 确 推导 出 对 应 的 y 坐 标 ， 从 而 将 公 角 解压 缩 为 在 椭圆 曲线 上 的 完整 的 点 

坐标 。 下 图 阅 释 了 公 负 压缩 : 


Public Key Compression 


Public Key 
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on the curve 


Uncompressed 
o 4 X Public Key 
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With 04 prefix 


eg KA Oy 
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02 x 03 x 


Compressed 
Compressed Public Key 


Public Key in hexadecimal with 03 
in hexadecimal with 02 prefix if y is odd 


prefix if y is even 





下 面 是 前 述 章节 所 生成 的 公 铀 ， 使 用 了 264 比 特 (66 个 十 六 进 制 数字 ) 的 压缩 格式 公 角 格式 
其 中 前 级 03 表 示 y 坐 标 是 一 个 奇数 : 


Kz 
03F028892BAD7ED57D2FB57BF33081D5CFCF6F9ED3D3D7F 159C2E2FFF579DC341A 


这 个 压缩 格式 公 钥 对 应 着 同样 的 一 个 私 钥 ， 这 意味 它 是 由 同样 的 私 钥 所 生成 。 但 是 压缩 格式 
公 铀 和 非 压缩 格式 公 钥 看 起 来 不 同 。 更 重要 的 是 ， 如 果 我 们 使 用 双 哈 而 函数 
(RIPEMD160(SHA256(K))) 将 压缩 格式 公 铀 转化 成 比特 币 地 址 ， 得 到 的 地 址 将 会 不 同 于 由 非 
压缩 格式 公 角 产生 的 地 址 。 这 种 结果 会 让 人 迷惑 ， 因 为 一 个 私 钥 可 以 生成 两 种 不 同 格 式 的 公 
铀 一 一 压缩 格式 和 非 压缩 格式 ， 而 这 两 种 格式 的 公 负 可 以 生成 两 个 不 同 的 比特 币 地 址 。 但 
是 ， 这 两 个 不 同 的 比特 币 地 址 的 私 钥 是 一 样 的 。 





压缩 格式 公 铀 渐渐 成 为 了 各 种 不 同 的 比特 币 客 户 端的 默认 格式 ， 它 可 以 大 大 减少 交易 所 需 的 
字 节 数 ， 同 时 也 让 存储 区 块 链 所 需 的 磁盘 空间 变 小 。 然 而 ， 并 非 所 有 的 客户 端 都 支持 压缩 格 
式 公 钥 ， 于 是 那些 较 新 的 支持 压缩 格式 公 铀 的 客户 端 就 不 得 不 考虑 如 何 处 理 那 些 来 自 较 老 的 
不 支持 压缩 格式 公 负 的 客户 端的 交易 。 这 在 钱包 应 用 导入 另 一 个 钱包 应 用 的 私 铀 的 时 候 就 会 
变 得 尤其 重要 ， 因 为 新 钱包 需要 扫描 区 块 链 并 找到 所 有 与 这 些 被 导入 私 钥 相关 的 交易 。 比 特 
币 钱 包 应 该 扫描 哪个 比特 币 地 址 呢 ? 新 客户 端 不 知道 应 该 使 用 哪个 公 钥 : 因为 不 论 是 通过 压 
缩 的 公 钥 产生 的 比特 币 地 址 ， 还 是 通过 非 压 缩 的 公 钥 产生 的 地 址 ， 两 个 都 是 合法 的 比特 币 地 
址 ， 都 可 以 被 私 钥 签 名 ， 但 是 他 们 是 不 同 的 比特 币 地 址 。 


为 了 解决 这 个 问题 ， 当 私 钥 从 钱包 中 被 导出 时 ， 代 表 私 钥 的 WIF 在 较 新 的 比特 币 钱包 里 被 处 理 
的 方式 不 同 ， 表 明 该 私 钥 已 经 被 用 来 生成 压缩 的 公 钥 和 因此 压缩 的 比特 币 地 址 。 这 个 方案 可 
以 解决 导入 私 钥 来 自 于 老 钱 包 还 是 新 钱包 的 问题 ， 同 时 也 解决 了 通过 公 铀 生成 的 比特 币 地 址 
是 来 自 于 压缩 格式 公 负 还 是 非 压缩 格式 公 负 的 问题 。 最 后 新 钱包 在 扫描 区 块 链 时 ， 就 可 以 使 
用 对 应 的 比特 币 地 址 去 查找 该 比特 币 地 址 在 区 块 链 里 所 发 生 的 交易 。 我 们 将 在 下 一 节 详 细 解 
释 这 种 机 制 是 如 何 工作 的 。 
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实际 上 “压缩 格式 私 钥 " 是 一 种 名 称 上 的 误导 ， 因 为 当 一 个 私 钥 被 使 用 WIF 压 缩 格式 导出 时 ， 不 
但 没有 压缩 ， 而 且 比 “ 非 压缩 格式 " 私 钥 长 出 一 个 字 节 。 这 个 多 出 来 的 一 个 字 节 是 私 钥 被 加 了 后 
组 01， 用 以 表明 该 私 钥 是 来 自 于 一 个 较 新 的 钱包 ， 只 能 被 用 来 生成 压缩 的 公 钥 。 私 钥 是 非 压 
缩 的 ， 也 不 能 被 压缩 。“ 压 缩 的 私 钥 "实际 上 只 是 表示 “用 于 生成 压缩 格式 公 负 的 私 钥 "， 而 “ 非 压 
缩 格式 私 钥 ”用 来 表明 “用 于 生成 非 压 缩 格式 公 钥 的 私 钥 "。 为 避免 更 多 误解 ， 应 该 只 可 以 说 导 
出 格式 是 "WIF 压 缩 格式 "或 者 "WIF”， 而 不 能 说 这 个 私 钥 是 "压缩" 的。 


表 4 示 例 : 相同 的 密 钥 ， 不 同 的 格式 


Format Private key 


Hex 1E99423A4ED27608A15A2616A2BOE9E52CED330AC530EDCC32C8FFC6A526AEDD 
WIF 5)3mBbAHS58CpQ3YSRNJpUKPE62SQS5tfcvU2)pbnkeyhfsYB 1Jcn 
Hex-compressed | 1E99423A4ED27608A15A2616A2BO0E9E52CED330AC530EDCC32C8FFC6A526AEDDO01 


WIF-compressed — KxFC1jmwwCoACIiCAWZ3eXa96mBM6tb3TYzGmf6YwgdGWZgawvrt) 


请 注意 ， 十 六 进 制 压缩 私 钥 格式 在 末尾 有 一 个 额外 的 字 节 (十 六 进 制 为 01) 。 虽然 Base58 编 
码 版 本 前 级 对 于 WIF 和 WIF 压 缩 格 式 都 是 相同 的 (0x80) ， 但 在 数字 末尾 添加 一 个 字 节 会 导致 
Base58 编 码 的 第 一 个 字符 从 5 变 为 K 或 L， 考 虑 到 对 于 Base58 这 是 十 进 制 编码 100 号 和 99 号 之 
间 的 差别 。 对 于 100 是 一 个 数字 长 于 99 的 数字 ， 它 有 一 个 前 级 1， 而 不 是 前 级 9。 当 长 度 变化 
， 它 会 影响 前 缓 。 在 Base58 中 ， 前 组 5 改变 为 K 或 L， 因 为 数字 的 长 度 增加 一 个 字 节 。 


能 且 永 远 被 导出 为 WIF 压 缩 格 式 (AKALA WA) 。 对 于 较 老 的 没有 实现 压缩 格式 公 负 的 
X €, > 44:35. SEE S IBCUWIFAE A, (以 5 为 前 级 ) 导 出 。 这 样 做 的 目的 就 是 为 了 给 导入 这 些 
私 钥 的 钱包 一 个 信号 : 是 否 钱包 必须 搜索 区 块 链 寻 找 压缩 或 非 压 缩 公 钥 和 地 址 。 


要 注意 的 是 ， 这 些 格式 并 不 是 可 互 换 使 用 的 。 在 实现 了 压缩 格式 公 铀 的 较 新 的 钱包 中 ， 私 铀 
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钱包 中 的 私 钥 将 会 被 用 来 在 曲线 上 生成 公 钥 点 ， 这 个 公 钥 点 将 会 被 压缩 。 压 缩 格式 公 钥 然后 
被 用 来 生成 交易 中 使 用 的 比特 币 地 址 。 当 从 一 个 实现 了 压缩 格式 公 钥 的 新 的 比特 币 钱包 导出 
私 钥 时 ， 钱 包 导 入 格式 (WIF) 将 会 被 修改 为 WIF 压 缩 格 式 ， 该 格式 将 会 在 私 钥 的 后 面 附加 一 
个 字 节 大 小 的 后 级 01。 最 终 的 Base58Check 编 码 格式 的 私 钢 被 称 作 WIF (“压缩 ") ABFA > VL 
字母 “K” 或 “<L” 开 头 。 而 以 “5” 开 头 的 是 从 较 老 的 钱包 中 以 WIF (FEBS) 格式 导出 的 私 钥 。 
提示 “压缩 格式 私 钥 ?是 一 个 不 当 用 词 ! 私 铀 不 是 压缩 的 。WIF 压 缩 格 式 的 私 钥 只 是 用 来 表明 他 
们 只 能 被 生成 压缩 的 公 钥 和 对 应 的 比特 币 地 址 。 相 反 地 ，“WIF 压 缩 " 编 码 的 私 钥 还 多 出 一 个 字 
节 ， 因 为 这 种 私 钥 多 了 后 级 “01”。 该 后 组 是 用 来 区 分 “" 非 压缩 格式 " 私 钥 和 "压缩 格式 " 私 钥 。 
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最 全 面 的 比特 币 Python 库 是 Vitalik Buterin 写 的 pybitcointools。 在 例 4-5 中 ， 我 们 使 用 
pybitcointools 库 ($A A“bitcoin”) 来 生成 和 显示 不 同 格式 的 密 钥 和 比特 币 地 址 。 
例 4-5 使 用 pybitcointools 库 的 密 钥 和 比特 币 地址 的 生成 和 格式 化 过 
link:code/key-to-address-ecc-example.py[] 

914-6 上 例 输 出 如 下 : 


$ python key-to-address-ecc-example.py 


Private Key (hex) is: 
3aba4162c7251c891207b747840551a71939b0de081f85c4e44cf7c13e41daa6 
Private Key (decimal) is: 


2656323004843795759223255382666369644060675668592011747683229967329301376 
8870 


Private Key (WIF) is: 
5JG9hT3beGTJuUAmCQEmNaxAuMacCTfXuw1R3FCXig23RQHMrAK 

Private Key Compressed (hex) is: 
3aba4162c7251c891207b747840551a71939b0de081f85c4e44cf7c13e41daa601 
Private Key (WIF-Compressed) is: 

KyBsPXxTuVD82av65KZkrGrWi5qL Mah5SdNq6uftawDbgKa2wv6S 

Public Key (x,y) coordinates is: 


(4163732278664632521488783226958839690066335393254591295336278245723940343 
0124L, 
1638893512878123840552671046672474159376108512086433144906665862240033936 
2166L) 


Public Key (hex) is: 


045c0de3b9c8ab18dd04e3511243ec2952002dbfadc864b9628910169d9b9b00ece 
243bcefdd4347074d44bd7356d6a53c495737dd96295e2a937 4bf5f02ebfc1 76 


Compressed Public Key (hex) is: 
025c0de3b9c8ab18dd04e3511243ec2952002dbfadc864b9628910169d9b9b00ec 

Bitcoin Address (b58check) is: 

1thMirt546nngXqyPEz532S8fLwbozud8 

Compressed Bitcoin Address (b58check) is: 14cxpo3MBCYYWCgF74SWTdemxipnGUsPw3 
例 4-7 是 另外 一 个 示例 ， 使 用 的 是 Python ECDSA 库 来 做 椭圆 曲线 计算 而 非 使 用 bitcoin 的 库 。 
link:code/ec-math.py[] 

例 4-8 是 上 述 脚本 的 输出 。 


注意 : VInstall Python PIP package manager 


$ sudo apt-get install python-pip 
\Install the Python ECDSA library 
$ sudo pip install ecdsa 

\ Run the script 

$ python ec-math.py 


Secret: 
3809083501595435886248113262888744390590620499591237827806016870358066029 
4000 EC point: 

(7004885353186717948985775049760696627238258347 132293545462459554000726931 
2627, 
1052622064786867431910608002634795893299202095272858039357360216860455423 
53380) 


BTC public key: 
029ade3effb0a67d5c8609850d797 366af428f4a0d5194cb221d807770a1522873 
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在 以 下 部 分 中 ， 我 们 将 看 到 高 级 形式 的 密 钥 和 地 址 ， 诸 如 加 密 私 钥 、 脚 本 和 多 重 签 名 地 址 ， 
般 号 地 址 ， 和 纸钱 包 。 


4.4.1 加 密 私 钥 (BIP0038) 


私 钥 必须 保密 。 私 钥 的 机 密 性 需求 情况 是 ， 在 实践 中 相当 难以 实现 ， 因 为 该 需求 与 同样 重要 
的 安全 对 象 可 用 性 相互 矛盾 。 当 你 需要 为 了 避免 私 钥 丢失 而 存储 备份 时 ， 会 发 现 维护 私 钥 私 
密 性 是 一 件 相 当 困 难 的 事情 。 通 过 密码 加 密 存 有 私 钥 的 钱包 可 能 要 安全 一 点 ， 但 那个 钱包 也 
需要 备份 。 有 了 时， 例如 用 户 因为 要 升级 或 重 装 钱包 软件 ， 而 需要 把 密 钥 从 一 个 钱包 转移 到 另 
一 个 。 私 钥 备份 也 可 能 需要 存储 在 纸张 上 (参见 “后 面 纸钱 包 "” 一 节 ) 或 者 外 部 存储 介质 里 ， 比 
如 U 盘 。 但 如 果 一 旦 备份 文件 失 穷 或 丢失 呢 ? 这 些 矛盾 的 安全 目标 推进 了 便 扒 、 方 便 、 可 以 被 
众多 不 同 钱包 和 比特 币 客户 端 理解 的 加 密 私 铀 标准 BIP0038 的 出 台 (BIP-38 详 细 可 参见 附录 部 


分 ) 。 


BIP0038 提 出 了 一 个 通用 标准 ， 使 用 一 个 口令 加 密 私 钥 并 使 用 Base58Check 对 加 密 的 私 钥 进 
行 编码 ， 这 样 加 密 的 私 钥 就 可 以 安全 地 保存 在 备份 介质 里 ， 安 全 地 在 钱包 间 传 输 ， 保 持 密 铀 
在 任何 可 能 被 暴露 情况 下 的 安全 性 。 这 个 加 密 标 准 使 用 了 AES， 这 个 标准 由 NIST 建 立 ， 并 广 
泛 应 用 于 商业 和 军事 应 用 的 数据 加 密 。 


BIP0038 加 密 方案 是 : 输入 一 个 比特 币 私 钥 ， 通 常 使 用 WIF 编 码 过 ，base58chek 字 符 串 的 前 
级 “5”。 此 外 BIP0038 加 密 方 案 需 要 一 个 长 密码 作为 口令 ， 通 常 由 多 个 单词 或 一 段 复 杂 的 数字 
字母 字符 串 组 成 。BIP0038 加 密 方 案 的 结果 是 一 个 由 base58check 编 码 过 的 加 密 私 钥 ， 前 级 
为 6P。 如 果 你 看 到 一 个 6P 开 头 的 的 密 钥 ， 这 就 意味 着 该 密 钥 是 被 加 密 过 ， 并 需要 一 个 口令 来 
转换 (解码 ) 该 蜜 钥 回 到 可 被 用 在 任何 钱包 WIF 格 式 的 私 钥 (前 组 为 5) 。 许 多 钱包 APP 现 在 
能 够 识别 BIP0038 加 密 过 的 私 钥 ， 会 要 求 用 户 提 供 口 令 解码 并 导入 密 钥 。 第 三 方 APP， 诸 如 
非常 好 用 基于 浏览 器 的 Bit Address ， 可 以 被 用 来 解码 BIP00038 的 密 铀 。 


最 通常 使 用 BIP0038 加 密 的 密 负 用例 是 纸钱 包 一 一 一 张 纸张 上 备份 私 钥 。 只 要 用 户 选择 了 强 口 
令 ， 使 用 BIP0038 加 密 的 私 钥 的 纸钱 包 就 无 比 的 安全 ， 这 也 是 一 种 很 棒 的 比特 币 离线 存储 方式 
(也 被 称 作 " 冷 存储 ”) 。 


在 bitaddress.org 上 测试 表 4-5 中 加 密 密 钥 ， 看 看 如 何 输入 密码 以 得 到 加 密 密 钥 。 


表 4-5 BIP0038 加 密 私 铀 例子 
Private Key (WIF) 5)3mBbAH58CpQ3Y5RNJpUKPE62SQS5tfcvU2)pbnkeyhfsYB 1Jcn 


Passphrase MyTestPassphrase 


4.4.2 P2SH (Pay-to-Script Hash) 和 多 重 签名 地 址 


正如 我 们 所 知 ， 传 统 的 比特 币 地 址 从 数字 1 开头 ， 来 源 于 公 钥 ， 而 公 钥 来 源 于 私 钥 。 虽 然 任 何 
人 都 可 以 将 比特 币 发 送 到 一 个 1 开头 的 地 址 ， 但 比特 币 只 能 在 通过 相应 的 私 钥 签名 和 公 铀 哈 希 
值 后 才能 消费 。 


以 数字 3 开头 的 比特 币 地 址 是 P2SH 地 址 ， 有 时 被 错误 的 称谓 多 重 签名 或 多 重 签 名 地 址 。 他 们 


BIP0016 引 进 ， 目 前 因为 BIP0016 提 供 了 增加 功能 到 地 址 本 身 的 机 会 而 被 广泛 的 采纳 。 不 同 于 
P2PKH 交 易 发 送 资 金 到 传统 1 开头 的 比特 币 地 址 ， 资 金 被 发 送 到 3 开头 的 地 址 时 ， 需 要 的 不 仅 
仅 是 一 个 公 钥 的 哈 希 值 和 一 个 私 钥 签 名 作为 所 有 者 证 明 。 在 创建 地 址 的 时 候 ， 这 些 要 求 会 被 
指定 在 脚本 中 ， 所 有 对 地 址 的 输入 都 会 被 这 些 要 求 阻隔 。 


一 个 P2SH 地 址 从 交易 脚本 中 创建 ， 它 定义 谁 能 消耗 这 个 交易 输出 〈 后 面 “P2SH (Pay-to- 
Script-Hash) "一 节 对 此 有 详细 的 介绍 ) 。 编 码 一 个 P2SH 地 址 涉及 使 用 一 个 在 创建 比特 币 地 
址 用 到 过 的 双重 哈 希 函数 ， 并 且 只 能 应 用 在 脚本 而 不 是 公 钾 : 


script hash = RIPEMD160(SHA256(script)) 


产生 的 脚本 哈 希 由 Base58Check 编 码 前 级 为 5 的 版 本 、 编 码 后 得 到 开头 为 3 的 编码 地 址 。 一 个 
P2SH 地 址 例子 是 3F6i6kwkevjR7AsAd4te2YB2zZyASEm1HM。 可 以 使 用 Bitcoin Explorer 命 
令 脚 本 编码 获得 ， 比 如 sha256, ripemd160, and base58check-encode， 举 例如 下 : 


$ echo dup hash160 [ 89abcdefabbaabbaabbaabbaabbaabbaabbaabba ] equalverify 
checksig > script 


$ bx script-encode < script | bx sha256 | bx ripemd160 | bx base58check-encode --version 5 
3F6i6kwkevjR7AsAd4te2YB2zZyASEm1HM 


提示 P2SH 不 一 定 是 多 重 签名 的 交易 。 虽 然 P2SH 地 址 通常 都 是 代表 多 重 签名 ， 但 也 可 能 是 编 
码 其 他 类 型 的 交易 脚本 。 


4.4.2.1 多 重 签名 地 址 和 P2SH 


目前 ，P2SH 函 数 最 常见 的 实现 是 多 重 签名 地 址 脚本 。 顾 名 思 义 ， 底 层 脚 本 需要 多 个 签名 来 证 
明 所 有 权 ， 此 后 才能 消费 资金 。 设 计 比 特 币 多 重 签名 特性 是 需要 从 总 共 N 个 密 钥 中 需要 M 个 签 
名 (也 被 称 为 “ 阅 值 ") ， 被 称 为 M-N 多 签名 ， 其 中 M 是 等 于 或 小 于 N。 例 如 ， 第 一 章 中 提 到 的 
咖啡 店主 Bob 使 用 多 重 签名 地 址 需要 1-2 签 名 ， 一 个 是 属于 他 的 密 铀 和 一 个 属于 他 同伴 的 密 

钥 ， 以 确保 其 中 一 方 可 以 签署 消费 一 笔 锁定 到 这 个 地 址 的 输出 。 这 类 似 于 传统 的 银行 中 的 一 
个 “联合 账户 *”， 其 中 任何 一 方 配偶 可 以 单独 签单 消费 。 或 就 像 Bob 雇 佣 的 网 页 设计 师 
Gopesh ， 创 立 一 个 网 站 ， 可 能 为 他 的 业务 需要 一 个 2-3 的 多 签名 地 址 ， 确 保 除非 至 少 两 个 业 
务 合作 伙伴 签署 签名 交易 才 可 以 进行 支付 消费 。 


我 们 将 会 在 第 五 章节 探索 如 何 使 用 P2SH 地 址 创建 交易 用 来 消费 资金 。 


4.4.3 比特 币 靓 号 地 址 


靓 号 地 址 包含 了 人 类 可 读 信息 的 有 效 比 特 币 地 址 。 例 如 ， 
1LoveBPzzD72PUXLzCkYAtGFYmK5vYNR33 就 是 包含 了 Base-58 字母 love 的 。 般 号 地 址 需 
要 生成 并 通过 数 十 亿 的 候选 私 负 测试， 直到 一 个 私 铀 能 生成 具有 所 需 图 案 的 比特 币 地 址 。 吕 
然 有 一 些 优化 过 的 靓 号 生成 算法 ， 该 方法 必须 涉及 随机 上 选择 一 个 私 钥 ， 生 成 公 钥 ， 再 生成 
比特 币 地 址 ， 并 检查 是 否 与 所 要 的 靓 号 图 案 相 匹配 ， 重 复数 十 亿 次 ， 直 到 找到 一 个 匹配 。 


一 旦 找到 一 个 匹配 所 要 图 案 的 靓 号 地 址 ， 来 自 这 个 靓 号 地 址 的 私 钥 可 以 和 其 他 地 址 相同 的 方 
式 被 拥有 者 消费 比特 币 。 表 号 地 址 不 比 其 他 地 址 具有 更 多 或 更 少 的 安全 性 。 它 们 依靠 和 其 他 
地 址 相同 的 ECC 和 SHA。 你 无 法 比 任 何 别 的 地 址 更 容易 的 获得 一 个 靓 号 图 案 开头 的 地 址 的 私 
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在 第 一 章 中 ， 我 们 介绍 了 Eugenia， 一 位 在 菲律宾 工作 的 儿童 总 普 总 监 。 我 们 假设 Eugenia 组 
织 了 一 场 比特 币 幕 捐 活 动 ， 并 希望 使 用 靓 号 比特 币 地 址 来 宣传 这 个 募捐 活动 。Eugenia 将 会 创 
造 一 个 以 1Kids 开 头 的 靓 号 地 址 来 促进 儿童 息 善 募捐 的 活动 。 让 我 们 看 看 这 个 靓 号 地 址 如 何 被 
创建 ， 这 个 靓 号 地 址 对 Eugenia 总 普 募 捐 的 安全 性 又 意味 着 什么 。 


4.4.3.1 生成 靓 号 地 址 


认识 到 比特 币 地 址 不 过 是 由 Base58 字 母 代表 的 一 个 数字 是 非常 重要 的 。 搜 索 “1kids”" 开 头 的 图 
案 我 们 会 发 现 从 1Kids11111111111111111111111111111 到 
1KidszzzzzzzzzZzZzZzZzZZZZZZZZZZZZZZZZ 的 地 址 。 这 些 以 “1kid" 开 头 的 地 址 范围 中 大 约 有 58 的 29 
次 方 地 址 (1.4* 10^51)) 。 表 4-6 显 示 了 这 些 有 “1kids” 前 级 的 地 址 。 


RA-6 “1Kids” 靓 号 的 范围 


From 1Kids11111111111111111111111111111 


1Kids11111111111111111111111111112 


1Kids11111111111111111111111111113 


To 1Kidszzzzzzzzzzzzzzzzzzzzzzzzzzzzz 
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一 台 普 通 性 能 的 桌面 电脑 ， 没有 任何 特殊 的 硬件 ， 可 以 每 秒 搜索 大 约 10 万 个 密 钥 。 


一 - om - z- — 


Length Pattern Frequency Average search time 
1 1K 1 in 58 keys < 1 milliseconds 
2 1Ki 1 in 3,364 50 milliseconds 
3 1Kid 1 in 195,000 « 2 seconds 

4 1Kids 1 in 11 million 1 minute 

5 1KidsC 1 in 656 million 1 hour 

6 1KidsCh 1 in 38 billion 2 days 

f 1KidsCha 1 in 2.2 trillion 3-4 months 

8 1KidsChar 1 in 128 trillion 13-18 years 

9 1KidsChari 1 in 7 quadrillion 800 years 

10 1KidsCharit 1 in 400 quadrillion 46,000 years 

11 1KidsCharity — 1 in 23 quintillion 2.5 million years 


正如 你 所 见 ，Eugenia 将 不 会 很 快 地 创建 出 以 “1KidsCharity" 开 头 的 靓 号 地 址 ， 即 使 她 有 数 千 
台 的 电脑 同时 进行 运算 。 每 增加 一 个 字符 就 会 增加 58 倍 的 计算 难度 。 超 过 七 个 字符 的 图 案 通 
常 需要 专用 的 硬件 才能 被 找 出 ， 壁 如 用 户 定制 的 具有 多 个 图 形 处 理 单元 (GPU) 的 台式 机 。 
那些 通常 是 无 法 继续 在 比特 币 挖 矿 中 腹 利 的 外 机， 被 重新 赋 子 了 寻找 靓 号 地 址 的 任务 。 用 
GPU 系统 搜索 靓 号 的 速度 比 用 通用 CPU 要 快 很 多 个 量 级 。 


另 一 种 寻找 裔 号 地 址 的 方法 是 将 工作 外 包 给 一 个 矿 池 里 的 裔 号 矿工 们 ， 如 靓 号 矿 池 中 的 矿 
池 。 一 个 矿 池 是 一 种 允许 那些 GPU 硬件 通过 为 他 人 寻找 靓 号 地 址 来 获得 比特 币 的 服务 。 对 小 
额 的 账单 ，Eugenia 可 以 将 搜索 7 位 字符 图 案 的 靓 号 地 址 的 工作 外 包 ， 在 几 个 小 时 内 就 可 以 得 
到 结果 ， 而 不 必用 一 个 CPU 搜索 上 几 个 月 才 得 到 结果 。 


生成 一 个 靓 号 地 址 是 一 项 通过 蛮 力 的 过 程 : 尝试 一 个 随机 密 钥 ， 检 查 生 成 的 地 址 是 否 和 所 需 
的 图 案 相 匹配 ， 重 复 这 个 过 程 直 到 成 功 找到 为 止 。 例 4-9 是 个 靓 号 矿工 的 例子 ， 用 C++ 程序 写 
的 来 寻找 靓 号 地 址 的 程序 。 这 个 例子 运用 到 了 我 们 在 "其 他 替代 客户 端 、 资 料 库 、 工 具 包 ”一 节 
介绍 过 的 libbitcoin 库 。 


例 4-9 AS EAE RE 
link:code/vanity-miner.cpp[] 


注释 编译 和 运行 虚拟 矿工 示例 使 用 std :: random device ( 译 者 注 : std :: random_device = +4 
匀 分 布 的 整数 随机 数 生成 器 ， 产 生 非 确定 性 随机 数 ) o 根据 实施 情况 ， 可 能 会 反映 底层 操作 
系统 提供 的 CSRNG。 在 类 似 Unix 的 操作 系统 (如 Linux) 中 ， 它 来 自 / dev/urandom 。 这 里 

使 用 的 随机 数字 生成 器 用 于 演示 ， 并 不 适用 于 生成 级 别 的 比特 币 密 钥 ， 因 为 它 没 有 以 足够 的 

安全 性 。 


示例 代码 需要 用 C 编 译 器 链接 libbitcoin 库 (此 库 需 要 提前 装 入 该 系统 ) 进行 编译 。 可 以 不 带 参 
数 直 接 执 行 vanity-miner 的 可 执行 文件 (参见 例 4-10) ， 它 就 会 尝试 找到 以 "1kid”" 开 头 的 靓 号 
地 址 。 


例 4-10 编 译 并 运行 vanity-miner 程 序 示例 

\Compile the code with g++ $ g++ -o vanity-miner vanity-miner.cpp 
$(pkg-config --cflags --libs libbitcoin) 

\Run the example 

$ ./vanity-miner 


Found vanity address! 1KiDzkG4MxmovZryZRj8tK810QRhbZ46YT Secret: 
57cc268a05f83a23ac9d930bc8565bac4e277055f4794cbd1a39e5e7 1c038f3f 


V Run it again for a different result 
$ ./vanity-miner 


Found vanity address! 1Kidxr3wsmMzzouwXibKfwTYs5Pau8TUFn Secret: 
7f65bbbbe6d8caae74a0c6a0d2d7b5c6663d7 1b60337299a1a2cf34c04b2a623 


使 用 时 间 命令 查看 需要 多 久 才 能 找到 结果 


$ time ./vanity-miner Found vanity address! 1KidPWhKgGRQWD5PP5TAnGfDyfWp5yceXM 
Secret: 2a802e7a53d8aa237cd059377b616d2bfcfa4b0140bc85fa008f2d3d4b225349 


real 0m8.868s user 0m8.828s sys 0m0.035s 


正如 我 们 运行 Unix 命 令 所 测 出 的 运行 时 间 所 示 ， 示 例 代 码 要 花 几 秒 钟 来 找 出 匹配 "kid” 三 个 字 
符 模板 的 结果 。 你 可 以 尝试 在 源 代 码 中 改变 search 这 一 搜索 模板 ， 看 一 看 如 果 是 四 个 字符 或 
者 五 个 字符 的 搜索 模板 需要 花 多 久 时 间 ! 


4.4.3.2 裔 号 地 址 安全 性 


ALS RODE BC ST VAIS Ja ^ dup VLL 88 3044836 EHNA ER de 30 2| » ATRELSEN > 
一 个 独特 的 地 址 使 对 手 难 以 使 用 他 们 自己 的 地 址 蔡 代 你 的 地 址 ， 以 欺骗 你 的 顾客 支付 他 们 的 
账单 。 不 幸 的 是 ， 靓 号 地 址 也 可 能 使 得 任何 人 都 能 创建 一 个 类 似 于 随机 地 址 的 地 址 ， 其 至 另 
一 个 般 号 地 址 ， 从 而 鞭 骗 你 的 客户 。 


Eugenia 可 以 让 捐款 人 捐款 到 她 宣布 的 一 个 随机 生成 地 址 (例如: 
1J7mdg5rbQyUHENYdx39WVWK7fsLpEoXZy) 。 或 者 她 可 以 生成 一 个 以 “1Kids” 开 头 的 瑶 
号 地 址 以 显得 更 独特 。 


在 这 两 种 情况 下 ， 使 用 单一 固定 地 址 (而 不 是 每 比 捐款 用 一 个 独立 的 动态 地 址 ) 的 风险 之 一 
是 小 偷 有 可 能 会 黑 进 你 的 网 站 ， 用 他 自己 的 地 址 取代 你 的 地 址 ， 从 而 将 捐赠 转移 给 他 自己 。 
如 果 你 在 不 同 的 地 方 公布 了 你 的 捐款 地 址 ， 你 的 用 户 可 以 在 付款 之 前 用 自己 眼睛 检查 以 确保 
这 个 地 址 跟 在 你 的 网 站 、 邮 件 和 传单 上 看 到 的 地 址 是 同一 个 。 在 随机 地 址 
17mdg5rbqyuhenydx39wvwk7fslpeoxzy 的 情况 下 ， 普 通用 户 可 能 会 只 检查 头 几 个 字 

符 *1j7mdg”， 就 认为 地 址 匹配 。 使 用 靓 号 地 址 生成 器 ， 那 些 想 通过 替换 类 似 地 址 来 盗窃 的 人 
可 以 快速 生成 与 前 几 个 字符 相 匹配 的 地 址 ， 如 表 4-8 所 示 。 


表 4-8 生成 匹配 某 随机 地 址 的 多 个 裔 号 


Original Random Address 1)7/mdg5rbQyUHENYdx39WVWK7fsLpEoXZy 
Vanity (4-character match)  1)7md1QqUALpctBetHS2Zoyl V5d6dShhEy 
Vanity (5-character match) 1J/mdgYqyNd4ya3UEcq31Q7sqRMXw2XZ6n 


Vanity (6-character match) 1J/mdg5WxGENmwyJP9xuGhG5KRzu99BBCX 


那 靓 号 地 址 会 不 会 增加 安全 性 ? 4e R Eugenia »1Kids33g44erFfpeXrmDSz7zEqG2FesZEN 
的 靓 号 地 址 ， 用 户 可 能 看 到 靓 号 图 案 的 字母 和 一 些 字符 在 上 面 ， 例 如 在 地 址 部 分 中 注 明 了 
1Kids33。 这 样 就 会 迫使 攻击 者 生成 至 少 6 个 字母 相 匹 配 的 的 靓 号 地 址 〈 比 之 前 多 2 个 字 

f) ， 就 要 花费 比 Eugenia 多 3364 倍 的 努力 。 本 质 上 ，Eugenia 付 出 的 努力 (或 者 靓 号 池 付 出 
的 ) 迫使 攻击 者 不 得 不 生成 更 长 的 靓 号 图 案 。 如 果 Eugenia 花 钱 请 矿 池 生成 8 个 字符 的 靓 号 地 
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号 池 也 无 法 生成 。 对 Eugenia 来 说 可 承担 的 起 支出 ， 对 攻击 者 来 说 则 变 成 了 无 法 承担 支出 ， 特 
别 是 如 果 欺 诈 的 潜在 回报 不 足以 支付 生成 靓 号 地 址 所 需 的 费用 。 


4.4.4 纸钱 包 


纸钱 包 是 打印 在 纸张 上 的 比特 币 私 钥 。 有 时 纸钱 包 为 了 方便 起 见 也 包括 对 应 的 比特 币 地 址 ， 
但 这 并 不 是 必要 的 ， 因 为 地 址 可 以 从 私 钥 中 导出 。 纸 钱包 是 一 个 非常 有 效 的 建立 备份 或 者 线 
下 存储 比特 币 ( 即 冷 存储 ) 的 方式 。 作 为 备份 机 制 ， 一 个 纸钱 包 可 以 提供 安全 性 ， 以 防 在 电 
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钱包 密 钥 在 线 下 生成 并 永久 不 在 电脑 系统 中 存储 ， 他 们 在 应 对 黑客 攻击 ， 键 盘 记 录 器 ， 或 其 
他 在 线 电 脑 威 胁 更 有 安全 性 。 


钱包 有 许多 不 同 的 形状 ， 大 小 ， 和 外 观 设计 ， 但 非常 基本 的 原则 是 一 个 密 钥 和 一 个 地 址 打 
eh E. 


表 4-9 比特 币 纸 钱包 的 私 钥 和 公 角 的 打印 形式 


Public address Private key (WIF) 
1424C2FAbC9JidNjjTUZCbUxv6Sa1Mt62x | 5)3mBbAH58CpQ3YSRNJpUKPE62SQ5tfcvU2)pbnkeyhfsYB 1Jcn 


通过 使 用 工具 ， 就 可 did d > Z 404% Jf] bitaddress.org I 35 E. 65 4 P 35 
Javascript R Z5 » iX 4» 含 所 有 生成 密 钥 和 纸钱 包 所 必须 代码 ， 甚 至 在 完全 失去 网 络 连 
接 的 情况 下 ， Se 若 要 使 用 它 ， 先 将 HTML 页 面 保存 在 本 地 磁盘 或 外 部 
U 盘 。 从 Internet 网 络 断 开 ， 从 浏览 器 中 打开 文件 。 更 方便 的 ， 使 用 一 个 原始 操作 系统 启动 电 
脑 ， 比 如 一 个 光盘 启动 的 Linux 系 统 。 任 何在 脱 机 情况 下 使 用 这 个 工具 所 生成 的 密 钥 ， 都 可 以 
通过 USB 线 在 本 地 打印 机 上 打印 出 来 ， 从 而 制造 了 密 钥 只 存在 纸张 上 而 从 未 存储 在 在 线 系统 
上 的 纸钱 包 。 将 这 些 纸钱 包 放 置 在 防火 保险 柜 内 ， 发 送 比 特 币 到 对 应 的 比特 币 地 址 上 ， 从 而 
实现 了 一 个 简单 但 非常 有 效 的 冷 存储 解决 方案 。 图 4-8 展 示 了 通过 bitaddress.org 生成 的 纸钱 
é, o 
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纸 的 小 偷 只 需 偷 走 纸 或 者 用 把 拍摄 纸 上 的 密 钥 ， 就 能 控制 被 这 些 密 钥 锁定 的 比特 币 。 一 个 更 
复杂 的 纸钱 包 存 储 系统 使 用 BIP0038 加 密 的 私 钥 。 打 印 在 纸钱 包 上 的 这 些 私 钥 被 其 所 有 者 记 住 
的 一 个 口令 保护 起 来 。 没 有 口令 ， 这 些 被 加 密 过 的 密 钥 也 是 毫 无 用 处 的 。 但 它们 仍旧 优 于 用 
口令 保护 ， 因 为 这 些 密 钥 从 没有 在 线 过 ， 并 且 必 须 从 保险 箱 或 者 其 他 物理 的 安全 存储 中 导 

出 。 图 4-9 展 示 了 通过 bitaddress.org 生成 的 加 密 纸 钱包 
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警告 虽然 你 可 以 多 次 存款 到 纸钱 包 中 ， 但 是 你 最 好 一 次 性 提取 里 面 所 有 的 资金 。 因 为 如 果 你 
提取 的 金额 少 于 其 中 的 总 ye 的 话 ， 有 些 钱 ov 。 并 且 ， 你 所 用 的 电 
脑 可 能 被 病毒 感染 ， 那 么 就 有 可 能 泄露 私 钥 。 一 次 性 提 走 所 有 余 款 可 以 减少 私 钥 泄露 的 风 
险 ， 如 果 你 所 需 的 金额 比较 少 ， 那 么 请 把 余额 发 送 到 相同 交易 的 一 个 新 的 纸钱 包 里 。 





纸钱 包 有 许多 设计 和 大 小 ， 并 有 许多 不 同 的 特性 。 有 些 作为 礼物 送 给 他 人 ， 有 季节 性 的 主 
题 ， 像 圣诞 节 和 新 年 主题 。 另 外 一 些 则 是 设计 保存 在 银行 金库 或 通过 某 种 方式 隐藏 私 钥 的 保 
险 箱 内 ， 或 者 用 不 踪 明 的 乔 和 到 贴 ， 或 者 折 司 和 防 蓉 改 的 铝箔 胶 粘 密 封 。 图 4-10 至 图 4-12 展 示 
了 几 个 不 同安 全 和 备份 功能 的 纸钱 包 的 例子 。 


图 4-10 38 3¢ bitcoinpaperwallet.com Æ 3.49 ` 44A 5 Aan & RE AR E 





图 4-11 i& it bitcoinpaperwallet.com 生成 的 、 私 铀 被 密封 住 的 纸钱 包 ， 其 他 设计 有 密 铀 和 地 址 
的 额外 副本 ， 类 似 于 票 根 形 式 的 可 以 拆 外 存根 ， 让 你 可 以 存储 多 个 副本 以 防火 灾 、 洪 水 或 其 
他 自然 灾害 。 
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第 四 章 密 钥 和 地 址 





图 4-12 在 备份 “存根 "上 有 多 个 私 铀 副本 的 纸钱 包 


CUTE SILVER BIRD: 1At7sTYfÍSENUFJOWXXdHf 4hYyTOvkrDCg20 





81 


“钱包 "一 词 在 比特 币 中 有 多 重 含 义 。 广义 上 ， 钱 包 是 一 个 应 用 程序 ， 为 用 户 提供 交互 界面 。 
钱包 控制 用 户 访问 权限 ， 管 理 密 钥 和 地 址 ， 跟 踪 余 额 以 及 创建 和 签名 交易 。 狭 义 上 ， 即 从 程 
序 员 的 角度 来 看 ，“ 钱 包 ” 是 指 用 于 存储 和 管理 用 户 密 铀 的 数据 结构 。 我 们 将 深入 介绍 第 二 层 
含义 ， 本 章 中 钱包 是 私 铀 的 容器 ， 一 般 是 通过 结构 化 文件 或 简单 数据 库 来 实现 。 


5.1 钱 包 技 术 概 述 


在 本 节 中 ， 我 们 总 结 了 各 种 技术 ， 它 们 为 用 户 构建 起 友好 ， 安 全 和 灵活 的 比特 币 钱包 


一 个 常见 误解 是 ， 比 特 币 钱 o 事实 上 ， 钱 包 里 只 含有 钥 是 。 "钱币 "被 记录 在 
比特 币 网 络 的 区 块 链 中 。 用 户 通过 钱包 中 的 密 钥 签名 交易 ， 从 而 来 控制 网 络 上 的 钱币 。 在 某 
种 意义 上 ， 比 特 币 钱包 是 蜜 钥 链 。 


提示 比特 币 钱包 只 含有 密 钥 ， 而 不 是 钱币 。 每 个 用 户 有 一 个 包含 多 个 密 钥 的 钱包 。 RARE 
含 私 钥 / 公 钥 对 的 密 铀 链 (请 参阅 [ 私 钥 章节 ]) 。 APARAS E 从 而 证 明 他 们 拥有 交 
易 输出 〈 他 们 的 钱币 ) o 钱币 以 交易 输出 的 形式 存储 在 区 块 链 中 (通常 记 为 vout 或 txout) ° 


有 两 种 主要 类 型 的 钱包 ， 区 别 在 于 它们 包含 的 多 个 密 钥 是 否 相 互 关联 。 


第 一 种 类 型 是 非 确 定性 钱包 (nondeterministic wallet) ， 其 中 每 个 密 钥 都 是 从 随机 数 独 立 生 
成 的 。 密 钥 彼 此 无 关 。 这 种 钱包 也 被 称 为 "Just a Bunch Of Keys (一 堆 密 钥 ) ”， 简 称 JBOK 钱 
Br 


第 二 种 类 型 是 确定 性 钱包 (deterministic wallet) ， 其 中 所 有 的 密 钥 都 是 从 一 个 主 密 钥 派生 出 
来 ， 这 个 主 密 钥 即 为 种 子 (seed) 。 该 类 型 钱包 中 所 有 密 钥 都 相互 关联 ， 如 果 有 原始 种 子 ， 

则 可 以 再 次 生成 全 部 密 钥 。 确 定性 钱包 To LL 

法 是 使 用 树 状 结构 ， 称 为 分 级 确定 性 钱包 或 HD 钱 


确定 性 钱包 由 种 子 衍生 创造 。 为 了 便于 使 用 ， 种 子 被 编码 为 英文 单词 ， 也 称 为 助 记 词 。 


接 下 来 的 几 节 将 深入 介绍 这 些 技术 。 


5.1.1 非 确定 性 (随机 ) 钱包 


在 最 早 的 一 批 比 特 币 客户 端 中 ( Bitcoin Core， 现 在 称 作 比特 币 核心 客户 端 ) Ud “是 随机 
生成 的 私 钥 集合 。 这 种 类 型 的 钱包 被 称 作 零 型 非 确定 钱包 。 举 个 例子 ， 比 特 币 核心 客户 端 预 
先生 成 100 个 随机 私 钥 ， 从 最 开始 就 生成 足够 多 的 私 钥 并 且 每 个 密 钥 只 使 用 一 次 。 这 种 钱包 现 
在 正在 被 确定 性 钱包 替换 ， 因 为 它们 难以 管理 、 备 份 以 及 导入 。 随 机 密 钥 的 缺点 就 是 如 果 你 
生成 很 多 私 钥 ， 你 必须 保存 它们 所 有 的 副本 。 这 就 意味 着 这 个 钱包 必须 被 经 常 性 地 备份 。 每 
一 个 密 钥 都 必须 备份 ， 否 则 一 旦 钱包 不 可 访问 时 ， 钱 包 所 控 捉 | 的 资金 就 付 之 东 流 。 这 种 情况 
直接 与 避免 地 址 重复 使 用 的 原则 相 冲 突 一 一 每 个 比特 币 地 址 只 能 用 一 次 交易 。 地 址 重复 使 用 


个 交易 和 地 址 关联 在 一 起 ， 这 会 减少 隐私 。 当 你 想 避 免 重 复 使 用 地 址 时 ， 零 型 非 确定 性 
M) 是 好 的 选择 ， 因 为 你 要 创造 过 多 的 私 钥 并 且 要 保存 它们 。 虽 然 比特 币 核 心 客户 端 包 
型 钱包 ， 但 比特 币 的 核心 开发 者 并 不 鼓励 大 家 使 用 。 


wo oid 
yes 


图 5-1 展 示 的 是 一 个 非 确定 性 钱包 ， 其 含有 的 随机 密 钥 是 个 松散 的 集合 。 


提示 除了 简单 的 测试 之 外 ， 不 要 使 用 非 确 定性 钱包 。 它们 对 于 备份 和 使 用 来 说 太 麻 烦 了 。 相 
反 ， 推 荐 使 用 基于 行业 标准 的 HD 钱包 ， 可 以 用 种 子 助 记 词 进行 备份 。 


5.1.2 确定 性 (种子) 钱包 


确定 性 ， "om Her dE. 包含 通过 使 用 单项 te go od (REM 

机 生成 的 数字 。 这 个 数字 也 含有 比如 索引 号 码 或 者 可 生成 私 钥 的 " 链 码 ” (参见 “ 分 层 确 定性 钱 

&, (BIPO032/BIPO044) "— $) 。 在 确定 性 钱包 中 ， 种 子 足够 恢复 所 有 的 已 经 产生 的 私 钥 ， 

pne 只 用 在 初始 创建 时 的 一 个 简单 备份 就 足以 搞定 。 并 且 种 子 也 足够 让 钱包 导入 或 者 导出 。 
这 就 很 容易 允许 使 用 者 的 私 钥 在 钱包 之 间 轻 松 转移 。 


图 5-2 展 示 了 确定 性 钱包 的 逻辑 图 。 





5.1.3 分 层 确 定性 钱包 (HD Wallets (BIP-32/BIP-44) ) 


确定 性 钱包 被 开发 成 更 容易 从 单个 “种 子 " 中 生成 许多 密 钥 。 确 定性 钱包 的 最 高 级 形式 是 通过 
BIP0032 标 准 定 义 的 HD 钱 包 。HD 钱 包 包 含 以 树 状 结构 衍生 的 密 钥 ， 使 得 父 密 钥 可 以 衍生 一 系 
列子 密 钥 ， 每 个 子 密 钥 又 可 以 衍生 出 一 系列 孙 密 铀 ， 以 此 类 推 ， 无 限 衍生 。 图 5-3 展 示 了 树 状 
结构 。 
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相 比 较 随机 (不 确定 性 ) 密 钥 ，HD 钱 包 有 两 个 主要 的 优势 。 第 一 ， 树 状 结构 可 以 被 用 来 表达 
额外 的 组 织 含义 。 比 如 当 一 个 特定 分 支 的 子 密 钥 被 用 来 接收 交易 收入 并 且 有 另 一 个 分 支 的 子 
密 钥 用 来 负责 支付 花费 。 不 同 分 支 的 密 钥 都 可 以 被 用 在 企业 环境 中 ， 这 就 可 以 支配 不 同 的 分 
支部 门 、 子 公司 、 具 体 功能 以 及 会 计 类 别 。 

HD 钱 包 的 第 二 个 好 处 就 是 它 可 以 允许 使 用 者 去 建立 一 个 公共 密 钥 的 序列 而 不 需要 访问 相对 应 
的 私 钥 。 这 可 允许 HD 钱 包 在 不 安全 的 服务 器 中 使 用 或 者 在 每 笔 交易 中 发 行 不 同 的 公共 铀 是 。 
公共 钥匙 不 需要 被 预先 加 载 或 者 提前 衍生 ， 而 在 服务 器 中 不 需要 可 用 来 支付 的 私 钥 。 


5.1.4 种 子 和 助 记 词 (BIP-39) 


HD 钱 包 具 有 管理 多 个 密 钥 和 地 址 的 强大 机 制 。 由 一 系列 英文 单词 生成 种 子 是 个 标准 化 的 方 
法 ， 这 样 多 于 在 钱包 中 转移 、 导 出 和 导入 ， 如 果 HD 钱 包 与 这 种 方法 相 结合 ， 将 会 更 加 有 用 “。 
这 些 美 文 单词 被 称 为 助 记 词 ， 标 准 由 BIP-39 定 义 。 今 天 ， 大 多 数 比 特 币 钱 包 (以 及 其 他 加 密 
货币 的 钱包 ) 使 用 此 标准 ， 并 可 以 使 用 可 互 操作 的 助 记 词 导 入 和 导出 种 子 进 行 备份 和 恢复 。 


让 我 们 从 实际 的 角度 来 看 以 下 哪 种 种 子 更 容易 抄录 、 阅 读 、 导 出 以 及 导入 。 
16 进 制 表 示 的 种 子 : 0C1E24E5917779D297E14D45F14E1A1A 
助 记 词 表示 的 种 子 : 


army van defense carry jealous true garbage claim echo media make crunch 


5.1.5 钱 包 最 佳 实践 


由 于 比特 币 钱包 技术 已 经 成 熟 ， 出 现 了 一 些 常见 业 标 准 ， 使 得 比特 币 钱包 具备 广泛 互 操 
作 ， 易 于 使 用 ， 安 全 和 灵活 的 特性 些 常用 所 : 

3j i548 > X T BIP-39 

HD 钱包 ， 基 于 BIP-32 

多 用 途 HD 钱 包 结 构 ， 基 于 BIP-43 

多 币 种 和 多 帐户 钱包 ， 基 于 BIP-44 


这 些 标准 可 能 会 随 着 发 展 而 改变 或 过 时 ， 但 是 现在 它们 形成 了 一 套 互 锁 技术 ， 这 些 技术 已 成 
为 比特 币 的 事实 上 的 钱包 标准 。 


这 些 标准 已 被 广泛 的 软件 和 硬件 比特 币 钱包 采用 ， 使 所 有 这 些 钱包 互 操作 。 用 户 可 以 导出 在 
其 中 一 个 钱包 上 生成 的 助 记 符 ， 并 将 其 导入 另 一 个 钱包 ， 实 现 恢复 所 有 交易 ， 窗 铀 和 地 址 。 


列举 支持 这 en RUP a a MATS 
fe Mycelium ° 7|3& x 4 3k Li ， 包 括 ( 按 字母 顺序 排列 ) Keepkey » Ledger£e 
Trezor ° 


以 下 部 分 将 详细 介绍 这 些 技 术 。 


提示 如 果 您 正 准备 开发 一 个 比特 币 钱 包 ， 那 么 它 应 该 被 构建 为 一 个 HD 钱包 ， 一 个 种 子 被 编码 
为 助 记 词 代码 进行 备份 ， 遵 循 BIP-32，BIP-39，BIP-43 和 BIP-44 标 准 ， 下 面 章节 有 所 涉 猫 。 


5.1.6 使 用 比特 币 钱 包 


在 [用 户 故 事 ] 中 ， 我 们 介绍 了 Gabriel， 里 约 热 内 卢 是 一 个 有 进取 心 的 少年 ， 他 正在 经 营 一 家 简 
单 的 网 络 商店 ， 销 售 比 特 币 品牌 的 T 恤 ， 哆 啡 杯 和 贴纸 。 


Gabriel 使 用 Trezor 比 特 币 硬件 钱包 (Trezorit & : 硬件 HD 钱 包 ) 来 安全 地 管理 他 的 比特 币 。 
Trezor 是 一 个 简单 的 USB 设 备 ， 具 有 两 个 按钮 ， 用 于 存储 密 钥 (以 HD 钱包 的 形式 ) 和 签署 交 
易 。 Tezor 钱 包 遵 循 本 章 讨 论 的 所 有 行业 标准 ， 因 此 Gabriel 不 依赖 于 任何 专 有 技术 或 单一 供 
应 商 解决 方案 。 





当 Gabriel 首 次 使 用 Trezor 时 ， 设 备 从 内 置 的 硬件 随机 数 生 成 器 生成 助 记 词 和 种 子 。 在 这 个 初 
始 化 阶段 ， 钱 包 在 屏幕 上 按 顺序 逐个 显示 单词 。 


iam Write down the seed 


1 
7th word 


actual 
D [IP 
通过 写 下 这 个 助 记 符 ，Gabriel 创 建 了 一 个 备份 〈 参 见 表 5-1) ， 可 以 在 Trezor 设 备 丢失 或 损坏 
的 情况 下 用 于 恢复 。 在 新 的 Trezor 钱 包 ， 或 者 任 一 种 兼容 的 软件 和 硬件 钱包 中 ， 助 记 词 都 可 
以 用 于 恢复 。 请 注意 ， 单 词 序列 很 重要 ， 因 此 ， 记 忆 纸 备份 需要 对 每 个 单词 都 有 空格 。 
Gabriel 必 须 仔 细 记 录 每 个 单词 的 编号 ， 以 保持 正确 的 顺序 。 表 5-1Gabriel 的 助 记 器 备份 





1. army | 7 T— 
2. van 8. claim 

3. defense 9. echo 

4. carry 10. media 
5. jealous 11. make 


6. true 12. crunch 


提示 为 了 简单 起 见 ，Gabriel 的 助 记 词 记 录 中 显示 了 一 个 12 个 词 。 事实 上 ， 大 多 数 硬 件 钱 包 生 
成 更 安全 的 24 个 词 的 助 记 符 。 助 记 词 以 完全 相同 的 方式 使 用 ， 不 管 长 度 如 何 。 

作为 网 店 的 第 一 次 实践 ，Gabriel 使 用 他 的 Trezor 设 备 生 成 一 个 比特 币 地 址 。 所 有 客户 的 订单 
都 使 用 此 单一 地 址 。 我 们 将 看 到 ， 这 种 方法 有 一 些 缺 点 ， 不 过 可 以 使 用 HD 钱 包 进 行 改 进 。 


5.2 钱 包 技 术 细 节 
现在 我 们 来 深入 了 解 被 众多 比特 币 钱包 所 使 用 的 重要 的 行业 标准 。 


5.2.1 助 记 码 词汇 (BIP-39) 


de oe eR UNS du uu eut 单词 的 序列 
足以 重新 创建 种 子 ， 并 且 从 种 子 那里 重新 创造 钱包 以 及 所 有 私 钥 。 在 首次 创建 钱包 时 ， 带 有 
助 记 码 的 ， 运 行 确定 性 钱包 的 钱包 ne 单 
词 的 顺序 就 是 钱包 的 备份 。 它 也 可 以 被 用 来 恢复 以 及 重新 创造 应 用 程序 相同 或 者 兼容 的 钱包 
的 密 钥 。 助 记 码 词汇 可 以 让 使 用 者 复制 钱包 更 容易 一 些 ， 因 为 相 比较 随机 数字 顺序 来 说 ， 它 
们 更 容易 地 被 阅读 和 正确 抄写 。 


提示 助 记 词 经 常 与 “ 脑 钱包 ”混淆 。 他 们 不 一 样 。 cape 由 用 户 选 择 的 单词 组 
成 ， 而 助 记 符 是 由 钱包 随机 创建 的 ， 并 呈现 给 用 户 。 这 个 重要 的 区 别 使 助 记 词 更 加 安全 ， 因 
为 人 类 猜测 随机 数 还 是 无 能 为 力 。 


助 记 码 被 定义 在 比特 币 的 改进 建议 39 中 (参见 "附录 2 比特 币 改 进 协议 [bjp0039]”) 。 需 要 注 
意 的 是 ，BIP-39 是 助 记 码 标准 的 一 个 实施 方案 。 还 有 一 个 不 同 的 标准 ， 使 用 一 组 不 同 的 单 

词 ， 是 由 Electrum 钱 包 使 用 ， 并 且 旱 于 BIP-39。 BlIP-39 由 Trezor 硬 件 钱 包 背 后 的 公司 提出 ， 
与 Electrum 的 实施 不 兼容 。 然而 ，BIP-39 现 在 已 经 在 数 十 个 可 互 操作 的 实践 案例 中 获得 了 广 
泛 的 行业 支持 ， 应 被 视 为 事实 上 的 行业 标准 。 


BIP-39 定 义 了 助 记 符 码 和 种 子 的 创建 ， 我 们 在 这 里 描述 了 九 个 步骤 。 清楚 起 见 ， 该 过 程 
分 为 两 部 分 : 


1-6 步 是 创建 助 记 词 ，7-9 步 是 从 助 记 词 到 种 子 。 


5.2.26) 32 Witt 


助 记 词 是 由 钱包 使 用 BIP-39 中 定义 的 标准 化 过 程 自动 生成 的 。 FR ELIAS IR IS > oR 
je > REA NG RAB SEP] A : 


、 创 建 一 个 128 到 256 位 的 随机 序列 (JR) 。 
2、 提 出 SHA256 哈 希 前 几 位 (84/32) ， 就 可 以 创造 一 个 随机 序列 的 校 验 和 。 


3、 将 校 验 和 添加 到 随机 序列 的 末尾 。 


4、 将 序列 划分 为 包含 11 位 的 不 同 部 分 。 
5、 将 每 个 包含 11 位 部 分 的 值 与 一 个 已 经 预先 定义 2048 个 单词 的 字典 做 对 应 。 
6、 生 成 的 有 顺序 的 单词 组 就 是 助 记 码 。 


El 5-6/& aR T Jl he ty E RILE] © 


Mnemonic Words 
128-bit entropy/12-word example 


(D Generate Entropy (128bits) SHA256 (2) 


First 4 bits 


Entropy (128 bits) Eod E 


(4 Split 132-bits into 12 segments of 11-bits each 


BIP39 English Word List (2048 words) 





00000000000 | abandon 
00000000001 | ability 


00001100000 


l111111111T1 








Twelve word mnemonic code: 


army van defense carry jealous true 
garbage claim echo media make crunch 





RO-QRA T MBE Kd fe Hit M X o 


Entropy (bits) | Checksum (bits) | Entropy + checksum (bits) ^ Mnemonic length (words) 


128 4 132 12 

160 5 165 15 

192 6 198 18 

224 7 231 21 

256 8 264 24 
5.2.3). I) i5, 19] + jx FP T 


Bia RRKE A128 225612. 69 ho i8 ee M A 44 AE 4 A ARPBKDF2 WRAT 3 dd Kg 
(51242) 种 子 。 将 所 得 的 种 子 用 于 构建 确定 性 钱包 并 得 到 其 密 钥 。 


密 钥 延伸 函数 有 两 个 参数 : 助 记 词 和 盐 。 其 中 盐 的 目的 是 增加 构建 能 够 进行 暴力 攻击 的 查找 
表 的 困难 度 。 在 BIP-39 标 准 中 ， 盐 具有 另 一 目的 ， 它 允许 引入 密码 短语 (passphrase) ， 作 
为 保护 种 子 的 附加 安全 因素 ， 我 们 将 在 BIP-39 可 选 密码 短语 章节 详细 地 描述 。 


创建 助 记 词 之 后 的 7-9 步 是 : 

7、PBKDF2 密 铀 延伸 函数 的 第 一 个 参数 是 从 步骤 6 生成 的 助 记 符 。 

8、PBKDF2 密 钥 延 仲 函 数 的 第 二 个 参数 是 盐 。 由 字符 串 常数 “ 助 记 词 " 与 可 选 的 用 户 提供 的 密 
码 字 符 串 连接 组 成 。 

9、PBKDF2 使 用 HMAC-SHA512 算 法 ， 使 用 2048 次 哈 希 来 延伸 助 记 符 和 盐 参 数 ， 产 生 一 个 
512 位 的 值 作 为 其 最 终 输出 。 这 个 512 位 的 值 就 是 种 子 。 


图 5-7 显 示 了 从 助 记 词 如 何 生成 种 子 


Mnemonic to Seed 


Mnemonic Code Words Salt 
"army van defense carry jealous true “mnemonic” + (optional) passphrase 
garbage claim echo media make crunch” 


Key Stretching Function 
PBKDF2 using HMAC-SHA512 


© 


512-bit Seed 


5b56c417303faa3fcba7e57400e120a0ca83ec5a4fc9ffba757fbe63fbd77a89 
ala3be4c67196£57c39a88b76373733891bfabal6ed27a813ceed498804c0570 





提示 密 钥 延伸 函数 ， 使 用 2048 次 哈 希 是 一 种 非常 有 效 的 保护 ， 可 以 防止 对 助 记 词 或 密码 短语 
的 暴力 攻击 。 它 使 得 攻击 尝试 非常 昂贵 (从 计算 的 角度 ) ， 需 要 尝试 超过 几 千 个 密码 和 助 记 
符 组 合 ， 而 这 样 可 能 产生 的 种 子 的 数量 是 巨大 的 (24512) © 


表 5-3、5-4 和 表 5-5 展 示 了 一 些 助 记 码 的 例子 和 它 所 生成 的 种 子 。 


Entropy input 


(128 bits) 0c1e24e5917779d297e14d45f14e1a1a 


Mnemonic (12 à : : 
di) army van defense carry jealous true garbage claim echo media make crunch 
wor 


Passphrase (none) 


Seed (512 5b56c417303faa3fcba7e57400e120a0ca83ec5a4fc9ffba757fbe63fbd77a89a1a3be4c67196f57c39 
bits) a88b76373733891bfaba16ed27a813ceed498804c0570 


Ent i t 
MTOPY INPUT 0c1e24e5917779d297e14d45f14elala 


(128 bits) 

Mnemone || ae def jealous t bage claim echo media mak h 
army van aetense car ealous true garbage Claim echo media make crunc 

(12 words) y y) garpag 

Passphrase SuperDuperSecret 


Seed (512 3b5df16df2157104cfdd22830162a5e170c0161653e3afe6c88defeefb0818c793dbb28ab3ab091897d0 


bits) 715861dc8a18358f80b79d49acf64142ae57037d1d54 
Entropy 
input (256 2041546864449caff9390324d574753fe684d3c947c3346713d48423e74abcf8c 
bits) 


Mnemonic cake apple borrow silk endorse fitness top denial coil riot stay wolf luggage oxygen faint major edit 
(24 words) measure invite love trap field dilemma oblige 


Passphrase (none) 


Seed (512 3269bce2674acbd188d4f120072b13b088a0ecí87c6e4cae41657a0bb7815315b33b3a04356e53d062e5 
bits) 5f1e0deaa082df8d487381379df848a6ad7e98798404 


5.2.4BIP-39 F 69 T 36 95 49 42.18 


国人 
常量 字符 串 “ 助 记 词 "构成 的 盐 进 行 延伸 ， 从 任何 给 定 的 助 记 词 产生 一 个 特定 的 512 位 种 子 。 如 
果 使 用 密码 短语 ， 密 钥 延 伸 函 数 使 用 同样 的 助 记 词 也 会 产生 不 同 的 种 子 。 事 实 上 ， 给 予 一 个 
单一 的 助 记 词 ， 每 一 个 可 能 的 密码 短语 都 会 导致 不 同 的 种 子 。 基 本 上 没有 “错误 "的 密码 短 
on OPE 
这 批 钱包 非常 之 大 (2^512) ， 使 用 暴力 破解 或 随机 猜测 基本 不 可 能 。 


提示 BIP-39 中 没有 "错误 的 "密码 短语 。 每 个 密码 都 会 导致 一 些 钱 包 ， 只 是 未 使 用 的 钱包 是 空 
的 。 
可 选 密码 短语 带 来 两 个 重要 功能 : 


Feast ele a P MN FT BAIT] AAG BREA o BERT Nee 
盗 取 后 被 利用 。 Aes|dA HR HXOR deuda 4d 9 45] 6, * 2 do d d 
pipe Ta X EAR KR EE A LR EL 


然而 ， 需 要 注意 的 是 ， 使 用 密码 短语 也 会 引起 丢失 的 风险 : 


如 果 钱 包 所 有 者 无 行为 能 力 或 死亡 ， 没 有 人 知道 密码 ， 种 子 是 无 用 的 ， 所 有 存储 在 钱包 中 的 
资金 都 将 永远 丢失 。 相 反 ， 如 果 所 有 者 将 密码 短语 与 种 子 备份 在 相同 的 地 方 ， 则 违反 了 上 述 
第 二 个 因素 的 目的 。 虽 然 密码 是 非常 有 用 的 ， 但 它们 只 能 与 仔细 计划 的 备份 和 恢复 流程 结合 
使 用 ， 考 虑 到 所 有 者 个 人 风险 的 可 能 性 ， 应 该 允许 其 家 人 恢复 加 密 资 产 。 


5.2.5 使 用 助 记 符 代码 


BIP-39 被 做 成 函数 库 ， 支 持 多 种 编程 语言 : 


python-mnemonic 


SatoshiLabs 团 队 在 Python 中 提出 了 BlIP-39 标 准 的 参考 实现 


bitcoinjs/bip39 


作为 流行 的 bitcoinJS 框 架 的 一 部 分 ， 在 JavaScript 中 实现 了 BIP-39 


libbitcoin/mnemonic 


作为 流行 的 Libbitcoin 框 架 的 一 部 分 ， 在 C ++ 中 实现 了 BIP-39 


还 有 一 个 BIP-39 生 成 器 在 独立 的 网 页 中 实现 ， 对 于 测试 和 实验 非常 有 用 。 图 5-8 展 示 一 个 独立 
的 网 页 ， 可 以 生成 助 记 词 、 种 子 和 扩展 私 钥 。 


Mnemonic 


BIP39 
Mnemonic 


BIP39 
Passphrase 
(optional) 


BIP39 Seed 


Coin 


BIP32 Root 
Key 


You can enter an existing BIP39 mnemonic, or generate a new random one. Typing your 
own twelve words will probably not work how you expect, since the words require a 
particular structure (the last word is a checksum) 


For more info see the BIP39 spec 


Generate arandom 12$ word mnemonic, or enter your own below. 





army van defense carry jealous true garbage claim echo media make crunch| 





5b56c417303faa3fcba7e57400e120a0caB3ec5a4fc9ffba757fbe63fbd77a89a1a3be4c67 19 
6157c39388b76373733891bfaba16ed27a813ceed498804c0570 


Bitcoin 


< 


xprv9s21ZrQH143K3t4UZrNgeA3w861fwjYLaGwmPtQyPMmzshV2owVpfBSd2Q7YsHZ9j6 
i&ddYjb5PLtUdMZn8LhvuCVhGcQntq5rn7JVMqnie 


BIP-39 生 成 器 可 以 离线 使 用 ， 也 可 以 使 用 这 个 在 线 地 址 .地 址 转向 到 这 儿 了 。 


5.3 从 种 子 中 创造 HD 钱包 


DD 钱包 从 单个 根 种 子 (root seed) 中 创建 ， 为 128 到 256 位 的 随机 数 。 最 常见 的 是 ， 这 个 种 
子 是 从 助 记 符 产生 的 ， 如 上 一 节 所 述 。 


HD 钱包 的 所 有 的 确定 性 都 衍生 自 这 个 根 种 子 。 任 何 兼 容 HD 钱包 的 根 种 子 也 可 重新 创造 整个 
HD 钱包 。 所 以 简单 的 转移 HD 钱包 的 根 种 子 就 让 HD 钱包 中 所 包含 的 成 千 上 百 万 的 密 钥 被 复 
制 ， 储 存 导 出 以 及 导入 。 


图 5-9 展 示 创 建 主 密 钥 以 及 HD 钱包 的 主 链 代 码 的 过 程 。 


Cryptographically Secure Pseudo-Random Master 
Number Generator Private Key 


m 
(256 bits) 






Mnemonic Code Words 


"army van defense .. 


















Root Seed 
(128, 256 or 512 bits) 


e Master 
HMAC-SHA512 | Public Key 
“M” 





One-Way Hash 
Function 


(264 bits) 





Master 
Chain Code 
(256 bits) 


根 种 子 输入 到 HMAC-SHA512 算 法 中 就 可 以 得 到 一 个 可 用 来 创造 主 私 钥 (m) (master private 
key(m) ) 和 主 链 代码 (a master chain code) 的 哈 希 。 主 私 钥 (m) 之 后 可 以 通过 使 用 我 们 
在 本 章 先前 看 到 的 那个 普通 椭圆 曲线 m * G 过 程 生 来 成 相对 应 的 主公 钥 (M) 。 链 代码 用 于 从 
母 密 钥 中 创造 子 密 钥 的 那个 函数 中 引入 粒 。 如 下 一 节 所 示 。 


5.3.1 私 有 子 密 钥 的 衍生 

分 层 确定 性 钱包 使 用 CKD (child key derivation) 函 数 去 从 母 密 钥 衍生 出 子 密 钥 。 
子 密 钥 衍生 函数 是 基于 单项 哈 币 函数 。 这 个 函数 结合 了 : 

一 个 母 私 钥 或 者 公共 钥匙 (ECDSA 未 压缩 键 ) 

一 个 叫做 链 码 (256 bits) 的 种 子 

一 个 索引 号 (32 bits) 


链 码 是 用 来 给 这 个 过 程 引 入 确定 性 随机 数据 的 ， 使 得 索引 不 能 充分 衍生 其 他 的 子 密 钥 。 因 
此 ， 有 了 子 密 钥 并 不 能 让 它 发 现 自己 的 姊妹 密 钥 ， 除 非 你 已 经 有 了 链 码 。 最 初 的 链 码 种 子 
(在 密码 树 的 根部 ) 是 用 随机 数据 构成 的 ， 随 后 链 码 从 各 自 的 母 链 码 中 衍生 出 来 。 

这 三 个 项 目 〈( 母 密 钥 ， 链 码 ， 索 引 ) 相 结合 并 散 列 可 以 生成 子 密 钥 ， 如 下 。 

母 公共 钥匙 一 一 链 码 以 及 索引 号 合并 在 一 起 并 且 用 HMAC-SHA512 函 数 散 列 之 后 可 以 产 
生 512 位 的 散 列 。 所 得 的 散 列 可 被 拆 分 为 两 部 分 。 散 列 右 半 部 分 的 256 位 产 出 可 以 给 予 链 当 链 
码 。 堪 半 部 分 256 位 散 列 以 及 索引 码 被 加 载 在 母 私 钥 上 来 衍生 子 私 钥 。 在 图 5-11 中 ， 我 们 看 到 
这 个 说 明 索引 集 被 设 为 0 去 生产 母 密 钥 的 第 0 个 子 密 钥 (第 一 个 通过 索引 ) © 











- Master 
Cryptographically Private Key 
Secure Pseudo-Random "m" 
Number Generator : (256 bits) 


Root Seed HMAC-SHA512 Master 


à Public Key 
512 bits output LAN 
(128, 256 or 512 bits) ( put) M 


One-Way Hash Function (264 bits) 


: Master 
Mnemonic Code Words Chain Code 
(eg. “army van defense .. .”) (256 bits) 





改变 索引 可 以 让 我 们 延长 母 密 钥 以 及 创造 序列 中 的 其 他 子 密 钥 。 比 如 子 0， 子 1， 子 2 等 等 。 每 
一 个 母 密 钥 可 以 有 2,147,483,647 (2^31) 个 子 密 钥 。2^31 是 整个 2^32 范 围 可 用 的 一 半 ， 因 为 

另 一 半 是 为 特定 类 型 的 推导 而 保留 的 ， 我 们 将 在 本 章 稍 后 讨论 。 

向 密码 树 下 一 层 重复 这 个 过 程 ， 每 个 子 密 钥 可 以 依次 成 为 母 密 钥 继续 创造 它 自己 的 子 密 钥 ， 

直到 无 限 代 。 


图 5-11 阐 述 了 扩展 母 公 负 来 衍生 子 公 负 的 传递 机 制 。 


Parent Child (Index 0) 
Private Key Private Key 
(256 bits) (256 bits) 


Parent HMAC-SHA512 Child 
Public Key (512 bits output) Public Key 


(264 bits) (264 bits) 






One-Way Hash Function 


Parent Child (Index 0) 
Chain Code Chain Code 
(256 bits) (256 bits) 


Index 
Number 
(32 bits, e.g. 0) 


5.3.2415 Fait Æ 85 TRA 


子 私 钥 不 能 从 非 确定 性 (随机 ) 密 钥 中 被 区 分 出 来 。 因 为 衍生 函数 是 单 向 的 ， 所 以 子 密 铀 不 
能 被 用 来 发 现 他 们 的 母 蜜 钥 。 子 密 钥 也 不 能 用 来 发 现 他 们 的 相同 层级 的 姊妹 密 钥 。 如 果 你 有 
第 n 个 子 密 铀 ， 你 不 能 发 现 它 前 面 的 (第 n 一 1) 或 者 后 面 的 子 密 钥 (n 十 1) 或 者 在 同一 顺序 


中 的 其 他 子 密 钥 。 只 有 和 母 密 铀 以 及 链 码 才能 得 到 所 有 的 子 密 钥 。 没 有 子 链 码 的 话 ， 子 密 负 也 
不 能 用 来 衍生 出 任何 孙 密 钥 。 你 需要 同时 有 子 密 钥 以 及 对 应 的 链 码 才能 创建 一 个 新 的 分 支 来 
衍生 出 孙 密 钥 。 


那 子 私 钥 自己 可 被 用 做 什么 呢 ? 它 可 以 用 来 做 公 钥 和 比特 币 地 址 。 之 后 它 就 可 以 被 用 在 那个 
地 址 来 签署 交易 和 支付 任何 东西 。 


实 是 它们 所 在 的 序列 ， 在 创造 他 们 的 HD 钱包 函数 之 外 是 不 可 见 的 。 一 旦 被 创造 出 来 ， 它 们 就 
和 "正常 " 密 乌 一 样 运行 了 。 


5.3.30 REA 


正如 我 们 之 前 看 到 的 ， 密 钥 衍 生 函 数 可 以 被 用 来 创造 密 钥 树 上 任何 层级 的 子 密 钥 。 这 只 需要 
三 个 输入 量 : 一 个 密 钥 ， 一 个 链 码 以 及 想 要 的 子 密 钥 的 索引 。 密 钥 以 及 链 码 这 两 个 重要 的 部 
分 被 结合 之 后 ， 就 叫做 扩展 密 钥 (extended key) 。 术 语 “extended key" 也 被 认为 是 “可 扩展 的 
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扩展 密 钥 可 以 简单 地 被 储存 并 且 表 示 为 简单 的 将 256 位 密 钥 与 256 位 链 码 所 并 联 的 512 位 序 
列 。 有 两 种 扩展 密 钥 。 扩 展 的 私 钥 是 私 钥 以 及 链 码 的 结合 。 它 可 被 用 来 衍生 子 私 钥 (FRA 
可 以 衍生 子 公 钥 ) 。 公 铀 以 及 链 码 组 成 扩展 公 钥 ， 它 可 以 用 来 扩展 子 公 钥 ， 见 “生成 公 钾 ? 章 


ET 


P o 

想象 一 个 扩展 密 钥 作为 HD 钱 包 中 密 钥 树 结构 的 一 个 分 支 的 根 。 你 可 以 衍生 出 这 个 分 支 的 剩 下 
所 有 部 分 。 扩 展 私 钥 可 以 创建 一 个 完整 的 分 支 ， 而 扩展 公 钥 只 能 够 创造 一 个 公 钥 的 分 支 。 
提示 一 个 扩展 密 钥 包括 一 个 私 钥 (RSM) 以 及 一 个 链 码 。 一 个 扩展 密 钥 可 以 创造 出 子 密 
钥 并 且 能 创造 出 密 钥 树 结构 中 的 整个 分 支 。 分 享 扩 展 密 钥 就 可 以 访问 整个 分 支 。 


E 


扩展 密 钥 通过 Base58Check 来 编码 ， 从 而 能 轻易 地 在 不 同 的 BIP-32 兼 容 钱包 之 间 导 入 导出 。 
扩展 密 钥 编码 用 的 Base58Check 使 用 特殊 的 版 本 号 ， 这 导致 在 Base58 编 码 字 符 中 ， 出 现 前 
缓 “Xprv” 和 "xpub”。 这 种 前 组 可 以 让 编码 更 易 被 识别 。 因 为 扩展 密 铀 是 512 或 者 513 位 ， 所 以 它 
比 我 们 之 前 所 看 到 的 Base58Check 编 码 串 更 长 一 些 。 


以 下 面 的 扩展 私 铀 为 例 ， 其 使 用 的 是 Base58Check 编 码 : 


xprv9tyUQV64JT5dqs3RSTJKXCWKMyUgoQp7F3hA1xzG6ZGu6u6Q9VMNjGr67Lctvy5P8oy 
aYAL9CAWrUE9i6GoNMKUga5biW6Hx4tws2six3b9c 


这 是 上 面 扩 展 私 钥 对 应 的 扩展 公 钥 ， 同 样 使 用 Base58Check 编 码 : 


xpub67xpozcx8pe95XVuZLHXZeG6XWXHpGq6Qvb5cmNfi7cS5mtjJ2tgypeQbBs2UARGKEC 
eeMVKZBPLrtJunSDMstweyLXhRgPxdp14sk9tJPW9 
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正如 之 前 提 到 的 ， 分 层 确定 性 钱包 的 一 个 很 有 用 的 特点 就 是 可 以 不 通过 私 钥 而 直接 从 公共 母 
密 负 派生 出 公共 子 密 钥 的 能 力 。 这 就 给 了 我 们 两 种 衍生 子 公 角 的 方法 : 或 者 通过 子 私 钥 ， 再 
或 者 就 是 直接 通过 母 公 钥 。 


因此 ， 扩 展 密 钥 可 以 在 HD 钱 包 结 构 的 分 支 中 ， 被 用 来 衍生 所 有 的 公 铀 ( 且 只 有 公 钥 ) © 


这 种 快捷 方式 可 以 用 来 创造 非常 保密 的 只 有 公 负 配置 。 在 配置 中 ， 服 务 器 或 者 应 用 程序 不 管 
有 没有 私 钥 ， 都 可 以 有 扩展 公 角 的 副本 。 这 种 配置 可 以 创造 出 无 限 数 量 的 公 角 以 及 比特 币 地 
址 。 但 是 发 送 到 这 个 地 址 里 的 任何 比特 币 都 不 能 使 用 。 与 此 同时 ， 在 另 一 种 更 保险 的 服务 器 
上 ， 扩 展 私 钥 可 以 衍生 出 所 有 的 对 应 的 可 签署 交易 以 及 花 钱 的 私 钥 。 


这 种 方案 的 常见 应 用 是 安装 扩展 公 钥 电 商 的 网 络 服务 器 上 。 网 络 服务 器 可 以 使 用 这 个 公 铀 衍 
生 函 数 去 给 每 一 笔 交 易 〈 比 如 客户 的 购物 车 ) 创造 一 个 新 的 比特 币 地 址 。 但 为 了 避免 被 偷 ， 

网 络 服务 商 不 会 有 任何 私 钥 。 没 有 HD 钱 包 的 话 ， 唯 一 的 方法 就 是 在 不 同 的 安全 服务 器 上 创造 
成 千 上 万 个 比特 币 地 址 ， 之 后 就 提前 上 传 到 电 商 服务 器 上 。 这 种 方法 比较 繁琐 而 且 要 求 持续 
的 维护 来 确保 电 商 服务 器 不 “用 光 ?" 公 铀 。 


这 种 解决 方案 的 另 一 种 常见 的 应 用 是 冷藏 或 者 硬件 钱包 。 在 这 种 情况 下 ， 扩 展 的 私 钥 可 以 被 
储存 在 纸 质 钱 包 中 或 者 硬件 设备 中 (比如 Trezor 硬件 钱包 ) ， 与 此 同时 扩展 公 铀 可 以 在 线 保 
存 。 使 用 者 可 以 根据 意愿 创造 “接收 "地 址 而 私 钥 可 以 安全 地 在 线 下 被 保存 。 为 了 支付 资金 ， 使 
用 者 可 以 使 用 扩展 的 私 钥 离线 签署 比特 币 客户 或 者 通过 硬件 钱包 设备 (比如 Trezor) 签署 交 


易 。 


5.3.5 在 网 店 中 使 用 扩展 公 钥 (Xpub ) 


继续 Gabriel 网 店 的 故事 ， 让 我 们 看 看 Gabriel 是 如 何 使 用 HD 钱包 。 


Gabriel 在 一 个 网 络 上 的 托管 服务 器 上 建立 一 个 简单 的 WordPress 页 面 ， 作 为 他 的 网 上 商店 。 
它 的 网 店 非常 简单 ， 只 有 几 个 页 面 和 一 张 带 有 一 个 比特 币 地 址 的 订单 。 


Gabriel 使 用 他 的 Trezor 设 备 生成 的 第 一 个 比特 币 地 址 作为 他 的 商店 的 主要 上 比特 征地 址 。 这 
样 ， 所 有 收 到 的 付款 都 将 支付 给 他 的 Trezor 硬 件 钱 包 所 控制 的 地 址 。 


客户 可 以 使 用 表格 提交 订单 ， 并 向 Gabriel 发 布 的 比特 币 地 址 发 送 付款 ， 触 发 一 封 电子 邮件 ， 
其 中 包含 Gabriel 的 订单 详细 信息 。 每 周 只 几 个 订单 ， 这 个 系统 运行 得 很 好 。 


然而 ， 这 个 小 型 网 络 商店 变 得 相当 成 功 ， 并 吸引 了 很 多 来 自 当 地 社区 的 订单 。Gabriel 很 快 就 
不 堪 重 负 。 由 于 所 有 订单 都 支付 相同 的 地 址 ， 因 此 很 难 正确 匹配 订单 和 交易 ， 特 别 是 当 同 一 
数量 的 多 个 订单 紧密 相连 时 。 


HD 钱 包 可 以 在 不 知道 私 钥 的 情况 下 获取 公共 子 密 钥 ， 该 能 力 为 Gabriel 提 供 了 更 好 的 解决 方 
Z o Gabriel 可 以 在 他 的 网 站 上 加 载 一 个 扩展 公 钥 (xpub) ， 这 可 以 用 于 为 每 个 客户 订单 导出 
唯一 的 地 址 。 Gabriel 可 以 花费 他 在 Trezor 里 资金 ， 但 加 载 在 网 站 上 的 Xpub 只 能 生成 地 址 并 收 
到 资金 。HD 钱 包 的 这 个 功能 非常 安全 。 Gabriel 的 网 站 不 包含 任何 私 钥 ， 因 此 不 需要 高 级 别 
的 安全 性 。 


为 了 导出 xpub，Gabriel 将 基于 Web 的 软件 与 Trezor 硬 件 钱包 配合 使 用 。 必 须 插 入 Trezor 设 备 
才能 导出 公 铀 。 请 注意 ， 硬 件 钱包 永远 不 会 导出 私 铀 ， 这 些 密 钥 始终 保留 在 设备 上 。 图 5-12 
显示 了 Gabriel 用 于 导出 xpub 的 Web 有 界面 。 


8 Basic Gal Homescreen ilt Advanced 
Label Gabriel's Change label 
Trezor 
PIN protection Enabled Change PIN 


Total balance 0.00 BTC 


Account public xpub6Cy7dURAZKF22HEuVq7ep 

keys (XPUB) RgRsoXfL2MK1RE81CSvp1ZySy 
SoYGXk5PUY9y9Cc5ExpnSwXyi 
mQAsVhyyPDNDrf j 4x jDSKZJNY 
gsHXoEPNCYQ 





Be careful with your XPUBs.When you L 


give them to a third party, you allow it [n] 
to see your whole transaction history. 
Learn more 


Gabriel 将 xpub 复 制 到 他 网 店 的 比特 币 购物 软件 中 。 他 使 用 的 软件 是 Mycelium Gear， 它 是 一 
个 网 店 的 开源 插件 ， 用 于 各 种 网 络 托管 和 内 容 平台 。 Mycelium Gear 使 用 xpub 为 每 次 购买 生 
成 一 个 唯一 的 地 址 。 
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从 扩展 公 钥 衍生 一 个 分 支 公 钥 的 能 力 是 很 重要 的 ， 但 牵扯 一 些 风险 。 访 问 扩 展 公 钥 并 不 能 得 
到 访问 子 私 钥 的 途径 。 但 是 ， 因 为 扩展 公 钥 包含 有 链 码 ， 如 果子 私 钥 被 知道 或 者 被 泄漏 的 
话 ， 链 码 就 可 以 被 用 来 衍生 所 有 的 其 他 子 私 钥 。 简 单 地 泄露 的 私 钥 以 及 一 个 母 链 码 ， 可 以 暴 
露 所 有 的 子 密 钥 。 更 糟糕 的 是 ， 子 私 负 与 母 链 码 可 以 用 来 推断 母 私 钥 。 


为 了 应 对 这 种 风险 ，HD 钱 包 使 用 一 种 叫做 硬化 衍生 (hardened derivation) 的 替代 衍生 函数 。 
这 就 "打破 "了 母 公 铀 以 及 子 链 码 之 问 的 关系 。 这 个 硬化 衍生 函数 使 用 了 母 私 钥 去 推导 子 链 码 ， 
而 不 是 母 公 钥 。 这 就 在 母 / 子 顺 序 中 创造 了 一 道 " 防 火 墙 " 一 有 链 码 但 并 不 能 够 用 来 推 草 子 链 
码 或 者 姊妹 私 钥 。 强 化 衍生 函数 看 起 来 几乎 与 一 般 的 衍生 的 子 私 钥 相 同 ， 不 同 的 是 母 私 钥 被 
用 来 输入 散 列 函数 中 而 不 是 母 公 钥 ， 如 图 5-13 所 示 。 





Parent Child (Index 0") 
Private Key Private Key 
(256 bits) (256 bits) 


HMAC-SHA512 Child 
(512 bits output) 2 Public Key 


(264 bits) 






0ne-Way Hash Function 


Parent Child (Index 0’) 
Chain Code Chain Code 
(256 bits) (256 bits) 


Index 
Number 
(32 bits, e.g. 0") 


当 强 化 私 钥 衍生 函数 被 使 用 时 ， 得 到 的 子 私 钥 以 及 链 码 与 使 用 一 般 衍 生 函 数 所 得 到 的 结果 完 
全 不 同 。 得 到 的 密 钥 分支 "可 以 被 用 来 生产 不 易 被 攻击 的 扩展 公 钥 ， 因 为 它 所 含 的 链 码 不 能 被 
用 来 开发 或 者 暴露 任何 私 钥 。 强 化 衍生 也 因此 被 用 在 上 一 层级 ， 使 用 扩展 公 角 的 密 钥 树 中 创 
ae" [a] BR” o 


简单 地 来 说 ， 如 果 你 想 要 利用 扩展 公 钥 的 便捷 来 衍生 公 角 的 分 支 而 不 将 你 自己 暴露 在 江 露 扩 
展 链 码 的 风险 下 ， 你 应 该 从 强化 母 私 钥 衍 生 公 钥 ， 而 不 是 从 一 般 的 母 私 钥 来 衍生 。 最 好 的 方 
式 是 ， 为 了 避免 了 推 到 出 主 密 钥 ， 主 密 钥 所 衍生 的 第 一 层级 的 子 密 钥 最 好 使 用 强化 衍生 。 


5.3.7 正 常 衍 生 和 强化 衍生 的 索引 号 码 


用 在 衍生 函数 中 的 索引 号 码 是 32 位 的 整数 。 为 了 区 分 密 钥 是 从 正常 衍生 函数 中 衍生 出 来 还 是 
从 强化 衍生 函数 中 产 出 ， 这 个 索引 号 被 分 为 两 个 范围 。 索 引号 在 0 和 2^31-1(0x0 to 
0x7FFFFFFF) 之 问 的 是 只 被 用 在 常规 衍生 。 索 引号 在 2^31 和 2^32- 1(0x80000000 to 
0xFFFFFFFF) 之 间 的 只 被 用 在 强化 衍生 。 因 此 ， 索 引号 小 于 2^31 就 意味 着 子 密 钥 是 常规 的 ， 
而 大 于 或 者 等 于 2^31 的 子 密 钥 就 是 强化 型 的 。 


为 了 让 索引 号 码 更 容易 被 阅读 和 展示 ， 强 化 子 密 钥 的 索引 号 码 是 从 0 开始 展示 的 ， 但 是 右上 和 角 
有 一 个 小 撤 号 。 第 一 个 常规 子 密 铀 因此 被 表述 为 0， 但 是 第 一 个 强化 子 密 铀 (索引 号 为 
0x80000000) 就 被 表示 为 0。 第 二 个 强化 密 钥 依 序 有 了 索 引号 0x80000001， 且 被 显示 为 人 1， 
以 此 类 推 。 当 你 看 到 HD 钱 包 索 引号 ， 这 就 意味 着 2^31+i。 


5.3.8HD 钱 包 密 钥 识 别 符 (路 径 ) 


包 中 的 密 铀 是 用 "路径" 命名 的 ， 且 每 个 级 别 之 间 用 斜 杠 (/) 字符 来 表示 〈 见 表 5-6) 。 由 
es 由 主公 乌 衍 生 的 公 钥 起 始 以 "Me 打头 。 因 此 ， 母 密 铀 生 
成 的 第 一 个 子 私 钥 是 rm/0。 第 一 个 公 钥 是 MO0。 第 一 个 子 密 铀 的 子 密 乌 就 是 m/0/1， 以 此 类 推 。 


密 钥 的 “祖先 "是 从 右 向 左 读 ， 直 到 你 达到 了 衍生 出 的 它 的 主 密 钥 。 举 个 例子 ， 标 识 符 m/x/y/z 描 
述 的 是 子 密 钥 m/x/y 的 第 z 个 子 密 钥 。 而 子 密 钥 m/x/y 又 是 m/X 的 第 y 个 子 密 钥 。m/x 又 是 m 的 第 X 
DERA 。 


HD path Key described 


m/0 The first (0) child private key from the master private key (m) 
m/0/0 The first grandchild private key of the first child (m/0) 

m/0'/0 The first normal grandchild of the first hardened child (m/0') 
m/1/0 The first grandchild private key of the second child (m/1) 


The first great-great-grandchild public key of the first great-grandchild of the 18th grandchild of the 


Mf23/ATI0/0 | ae child 


5.3.9HD 钱 包 树 状 结构 的 导航 


D 钱 包 树 状 结构 提供 了 极 大 的 灵活 性 。 每 一 个 母 扩展 密 钥 有 40 亿 个 子 密 钥 : 20 亿 个 常规 子叶 
钥 和 20 亿 个 强化 子 密 钥 。 而 每 个 子 密 钥 又 会 有 40 亿 个 子 密 钥 并 且 以 此 类 推 。 celine ， 这 
个 树 结构 可 以 无 限 类 推 到 无 穷 代 。 但 是 ， 又 由 于 有 了 这 个 灵活 性 ， 对 无 限 的 树 状 结 
航 就 变 得 异常 困难 。 尤 其 是 对 于 在 不 同 的 HD 钱 包 之 间 进 行 转移 交易 ， 因 为 ene 内 部 
支 以 及 亚 分 支 的 可 能 性 是 无 穷 的 。 


器 





两 个 比特 币 改进 建议 (BIPS) 提供 了 这 个 复杂 问题 的 解决 办 法 过 创建 几 个 HD 钱包 树 的 
提议 标准 。BlIP-43 提 出 使 用 第 一 个 强化 子 索引 作为 特殊 的 标识 各 m & "purpose" ° 
基于 BIP-43，HD 钱 包 应 该 使 用 且 只 用 第 一 层级 的 树 的 分 支 ， 而 且 有 索引 号 码 去 识别 结构 并 且 
有 命名 空间 来 定义 剩余 的 树 的 目的 地 。 举 个 例子 ，HD 钱 包 只 使 用 分 支 m/iy 是 为 了 表明 那个 被 
索引 号 中 定义 的 特殊 为 目地 。 


在 BIP-43 标 准 下 ， 为 了 延长 的 那个 特殊 规范 ，BIP-44 提 议 了 多 账户 结构 作为 “purpose”。 所 有 
遵循 BIP-44 的 HD 钱包 依据 只 使 用 树 的 第 一 个 分 支 的 要 求 而 被 定义 : m/44'| ° BIP-44 指 定 了 包 
含 5 个 预定 义 树 状 层 级 的 结构 : 


m / purpose' / coin type' / account / change / address index 
第 一 层 的 purpose 总 是 被 设 定 为 44' » 


第 二 层 的 “coin_ type” 特 指 币 种 并 且 允 许多 元 货币 HD 钱 包 中 的 货币 在 第 二 个 层级 下 有 自己 的 亚 
树 状 结构 。 目 前 有 三 种 货币 被 定义 : Bitcoin is m/44'/0' ` Bitcoin Testnet is m/44'/1' > AA 
Litecoin is m/44'/2' » 


树 的 第 三 层级 是 "account'， 这 可 以 允许 使 用 者 为 了 会 计 或 者 组 织 目 的 ， 而 去 再 细 分 他 们 的 钱 
包 到 独立 的 逻辑 性 亚 账 户 。 举 个 例子 ， 一 个 HD 钱包 可 能 包含 两 个 比特 币 “ 账 户 ”: m/44'/0'/0' 
和 m/44'/0'/1'。 每 个 账户 都 是 它 自己 亚 树 的 根 。 


第 四 层级 就 是 ‘change”。 每 一 个 HD 钱包 有 两 个 亚 树 ， 一 个 是 用 来 接收 地 址 一 个 是 用 来 创造 找 
零 地 址 。 注 意 无 论 先前 的 层级 是 否 使 用 强化 衍生 ， 这 一 层级 使 用 的 都 是 常规 衍生 。 这 是 为 了 
允许 这 一 层级 的 树 可 以 在 不 安全 环境 下 ， 输 出 扩展 公 钥 。 

被 HD 钱包 衍生 的 可 用 的 地 址 是 第 四 层级 的 子 级 ， 就 是 第 五 层级 的 树 的 “address index”。 比 


如 ， 第 三 个 层级 的 主 账户 收 到 比特 币 支付 的 地 址 就 是 M/44'/0'/0"/0/2。 表 5-7 展 示 了 更 多 的 例 
Ade 


HD 路 径 主要 描述 
M44'I0'/0'/0/2 第 三 个 收 到 公共 钥匙 的 主 比特 币 账 户 
M/44']0'/3A/14 第 十 五 改变 地 址 公 钥 的 第 四 个 比特 币 账 户 


m/44'I2'/0'/0/A 为 了 签署 交易 的 在 莱特 币 主 账 户 的 第 二 个 私 钥 


6.1 简介 


比特 币 交易 是 比特 币 系统 中 最 重要 的 部 分 。 根 据 比 特 币 系统 的 设计 原理 ， 系 统 中 任何 其 他 的 
部 分 都 是 为 了 确保 比特 币 交 易 可 以 被 生成 、 能 在 比特 币 网 络 中 得 以 传播 和 通过 验证 ， 并 最 终 
添加 入 全 球 比特 币 交 易 总 账簿 (比特 币 区 块 链 ) 。 比 特 币 交易 的 本 质 是 数据 结构 ， 这 些 数 据 
结构 中 含有 比特 币 交 易 参 与 者 价值 转移 的 相关 信息 。 比 特 币 区 块 链 是 一 本 全 球 复 式 记 账 总 账 
簿 ， 每 个 比特 币 交 易 都 是 在 比特 币 区 块 链 上 的 一 个 公开 记录 。 


在 这 一 章 ， 我 们 将 会 剖析 比特 币 交易 的 多 种 形式 、 所 和 包含 的 信息 、 如 何 被 创建 、 如 何 被 验证 
以 及 如 何 成 为 所 有 比特 币 交 易 永 久 记 录 的 一 部 分 。 当 我 们 在 本 章 中 使 用 术语 “钱包 "时 ， 我 们 指 
的 是 构建 交易 的 软件 ， 而 不 仅仅 是 密 钥 的 数据 库 。 


6.2 交 易 细 节 


在 [第 二 章 比 特 币 概述 ] 中 ， 我 们 使 用 区 块 浏览 器 查看 了 Alice 曾 经 在 Bob 的 咖啡 店 (Alce4 
Bob's Cafe 的 交易 ) 支付 咖啡 的 交易 。 


区 块 浏览 器 应 用 程序 显示 从 Alice 的 "地址 ?到 Bob 的 “地址 ?的 交易 。 这 是 一 个 非常 简化 的 交易 中 
包含 的 内 容 。 实际 上 ， 正 如 我 们 将 在 本 章 中 看 到 的 ， 所 显示 的 大 部 分 信息 都 是 由 区 块 浏览 
构建 的 ， 实 际 上 并 不 在 交易 中 。 


ES 
= 
Transaction view information about a bitcoin transaction 


0627052b6f28912f12703066a9126a57712ce4da4caa5a5fbd8a57286c345c212 


1GdK9UzpHBzqzX2A9JFP3Di4weBwqgmoQA 


1Cdid9KFAaatwczBwBttQcwXYCpvK8h7FK (0.1 BTC - Output) np - wala 0.015 BTC 
l czBw i (0. - 

d — 1Cdid9KFAaatwczBwBttQcwXY CpvK8h7FK - 

(Unspent) 0.0845 BTC 


ICE 


Summary Inputs and Outputs 
Size 258 (bytes) Total Input 0.1 BTC 
Received Time 2013-12-27 23:03:05 Total Output 0.0995 BTC 
Included In 277316 (2013-12-27 23:11:54 +9 Fees 0.0005 BTC 
Blocks minutes) 

Estimated BTC Transacted 0.015 BTC 


图 1. Alice Bob's Cafe 的 交易 


6.2125 - 幕后 细节 


在 幕后 ， 实 际 的 交 多 看 起 来 与 典型 的 区 块 浏览 器 提供 的 交 多 非常 不 同 。 事实 上 ， 我 们 在 各 种 
比特 币 应 用 程序 用 户 界面 中 看 到 的 大 多 数 高 级 结构 实际 上 并 不 存在 于 比特 币 系统 中 。 


我 们 可 以 使 用 Bitcoin Core 的 命令 行 界面 (getrawtransaction 和 decodeawtransaction ) 来 检索 
Alice 的 “原始 "交易 ， 对 其 进行 解码 ， 并 查看 它 包 含 的 内 容 。 结果 如 下 : Alice 的 交易 被 解码 后 
是 这 个 样子 : 


"version": 1, 
"locktime": 0, 
vamus Tr 

{ 

"txid":"7957a35fee4f80d234d76d83a2a8f1a0d8149a41d81de548f0a65a8a999f6f18", 

"vout": O, 

"scriptSig": "3045022100884d142d86652a3f47ba4746ec719bbfbd040a570b1deccbb6498c75 
c4ae24cb02204b9f039ff08df09cbe9f6addac960298cad530a863ea8f53982c09db8f6e3813[ALL] 0484 
ecc0d46f1918b30928fa0e4ed99f16a0fb4fde0735e7ade8416ab9fe423cc5412336376789d172787ec345 
7eee41c04f4938de5cc17b4a10fa336a8d752adf", 

"sequence": 4294967295 


l 


"vout": [ 
t 
"value": 0.01500000, 
"scriptPubKey": "OP_DUP OP HASH160 ab68025513c3dbd2f7b92a94e0581f5d50f654e7 OP E 
QUALVERIFY OP CHECKSIG" 
3 
t 
"value": 0.08450000, 
"scriptPubKey": "OP_DUP OP HASH160 7f9bi1a7fbe8Ssdeoc536c2fd8aeaa53a8f3cc025a8 OP E 
QUALVERIFY OP CHECKSIG", 


} 


您 可 能 会 注意 到 这 笔 交 易 似 乎 少 了 些 什么 东西 ， 比 如 : Alice 的 地 址 在 哪里 ? Bob 的 地 址 在 哪 
Alice 发 送 的 "0.1 个 币 的 输入 在 哪里 ? 在 比特 币 里 ， 没 有 具体 的 货币 ， 没 有 发 送 者 ， 没 有 
接收 者 ， 没 有 余额 ， 没 有 帐户 ， 没 有 地 址 。 为 了 使 用 者 的 便利 ， 以 及 使 事情 更 容易 理解 ， 所 
有 这 些 都 构建 在 更 高 层次 上 。 


你 可 能 还 会 注意 到 很 多 奇怪 和 难以 辨认 的 字段 以 及 十 六 进 制 字符 串 。 不 必 担 心 ， 本 章 将 详细 
介绍 这 里 所 示 的 各 个 字段 。 


6.3 交 易 的 输入 输出 


比特 币 交 易 中 的 基础 构建 单元 是 交易 输出 。 交易 输出 是 比特 币 不 可 分 割 的 基本 组 合 ， 记 录 在 
区 块 上 ， 并 被 整个 网 络 识别 为 有 效 。 比特 币 完整 节点 跟踪 所 有 可 找到 的 和 可 使 用 的 输出 ， 称 
为 “未 花费 的 交易 输出 ”(unspent transaction outputs) ， 即 UTXO。 所 有 UTXO 的 集合 被 称 
为 UTXO 集 ， 目 前 有 数 百 万 个 UTXO。 当 新 的 UTXO 被 创建 ，UTXO 集 就 会 交大 ， 当 UTXO 被 
消耗 时 ，UTXO 集 会 随 着 缩小 。 每 一 个 交易 都 代表 UTXO 集 的 变化 (状态 转换 ) © 


当 我 们 说 用 户 的 钱包 已 经 " 收 到 ”比特 币 时 ， 我 们 的 意思 是 ， 钱 包 已 经 检测 到 了 可 用 的 UTXO。 
通过 钱包 所 控制 的 密 钥 ， 我 们 可 以 把 这 些 UTXO 花 出 去 。 因此， 用 户 的 比特 币 “ 余 额 "是 指 用 户 
钱包 中 可 用 的 UTXO 总 和 ， 而 他 们 可 能 分 散在 数 百 个 交易 和 区 块 中 。“ 一 个 用 户 的 比特 币 余 
额 ”， 这 个 概念 是 比特 币 钱包 应 用 创建 的 派生 之 物 。 比 特 币 钱包 通过 扫描 区 块 链 并 聚集 所 有 属 
于 该 用 户 的 UTXO 来 计算 该 用 户 的 余额 。 大 多 数 钱 包 维 护 一 个 数据 库 或 使 用 数据 库 服务 来 存 
储 所 有 UTXO 的 快速 参考 集 ， 这 些 UTXO 由 用 户 所 有 的 密 钥 来 控制 花费 行为 。 


一 个 UTXO 可 以 是 1* 联 ”(satoshi) 的 任意 倍数 (整数 倍 ) 。 就 像 美元 可 以 被 分 割 成 表示 两 位 
小 数 的 "分" 一样， 比特 币 可 以 被 分 割 成 和 八 位 小 数 的 “ 聪 "。 尽 管 UTXO 可 以 是 任意 值 ， 但 一 旦 被 

创造 出 来 ， 即 不 可 分 割 。 这 是 UTXO 值 得 被 强调 的 一 个 重要 特性 : UTXO 是 面值 为 “ 联 ” 的 离散 
(不 连续 ) 且 不 可 分 割 的 价值 单元 ， 一 个 UTXO 只 能 在 一 次 交易 中 作为 一 个 整体 被 消耗 。 


如 果 一 个 UTXO 比 一 笔 交 易 所 需 量 大 ， 它 仍 会 被 当 作 一 个 整体 而 消耗 掉 ， 但 同时 会 在 交易 中 
生成 零头 。 例 如 ， 你 有 一 个 价值 20 比 特 币 的 UTXO 并 且 想 支付 1 比特 币 ， 那 么 你 的 交易 必须 
消耗 掉 整 个 20 比 特 币 的 UTXO， 并 产生 两 个 输出 : 一 个 支付 了 1 比特 币 给 接收 人 ， 另 一 个 支付 
了 19 比 特 币 的 找 零 到 你 的 钱包 。 这 样 的 话 ， 由 于 UTXO (或 交易 输出 ) 的 不 可 分 割 特 性 ， 大 部 
分 比特 币 交 易 都 会 产生 找 零 。 


想象 一 下 ， 一 位 顾客 要 买 1.5 元 的 饮料 。 她 掏 出 钱包 并 试图 从 所 有 硬币 和 钞票 中 找 出 一 种 组 合 
来 凑 齐 她 要 支付 的 1.5 元 。 如 果 可 能 的 话 ， 她 会 选 刚 刚好 的 零钱 (比如 一 张 1 元 纸币 和 5 个 一 毛 
硬币 ) 或 者 是 小 面额 的 组 合 (比如 3 个 五 毛 硬币 ) 。 如 果 都 不 行 的 话 ， 她 会 用 一 张大 面额 的 钞 
票 ， 比 如 5 元 纸币 。 如 果 她 把 5 元 给 了 商店 老板 ， 她 会 得 到 3.5 元 的 找 零 ， 并 把 找 零 放 回 她 的 钱 
包 以 供 未 来 的 交易 使 用 。 


类 似 的 ， 一 笔 比 特 币 交易 可 以 是 任意 金额 ， 但 必须 从 用 户 可 用 的 UTXO 中 创建 出 来 。 用 户 不 能 
再 把 UTXO 进 一 步 细 分 ， 就 像 不 能 把 一 元 纸币 撕 开 而 继续 当 货币 使 用 一 样 。 用 户 的 钱包 应 用 通 
常会 从 用 户 可 用 的 UTXO 中 选取 多 个 来 拼凑 出 一 个 大 于 或 等 于 一 笔 交 易 所 需 的 比特 币 量 。 


就 像 现 实生 活 中 一 样 ， 比 特 币 应 用 可 以 使 用 一 些 策 略 来 满足 付款 需求 : 组 合 若 干 小 额 UTXO ， 
并 算出 准确 的 找 零 ; 或 者 使 用 一 个 比 交 易 额 大 的 UTXO 然 后 进行 找 零 。 所 有 这 些 复杂 的 、 由 可 
花费 UTXO 组 成 的 集合 ， 都 是 由 用 户 的 钱包 自动 完成 ， 并 不 为 用 户 所 见 。 只 有 当 你 以 编程 方 
式 用 UTXO 来 构建 原始 交易 时 ， 这 些 才 与 你 有 关 。 


一 笔 交 易 会 消耗 先前 的 已 被 记录 (存在 ) 的 UTXO， 并 创建 新 的 UTXO 以 备 未 来 的 交易 消耗 。 
通过 这 种 方式 ， 一 定数 量 的 比特 币 价 值 在 不 同 所 有 者 之 间 转 移 ， 并 在 交易 链 中 消耗 和 创建 
UTXO。 一 笔 比 特 币 交易 通过 使 用 所 有 者 的 签名 来 解锁 UTXO， 并 通过 使 用 新 的 所 有 者 的 比特 
币 地 址 来 锁定 并 创建 UTXO © 


从 交易 的 输出 与 输入 链 角度 来 看 ， 有 一 个 例外 ， 即 存在 一 种 被 称 为 " 币 基 交易 ”(Coinbase 
Transaction) 的 特殊 交易 ， 它 是 每 个 区 块 中 的 第 一 笔 交 易 ， 这 种 交易 存在 的 原因 是 作为 对 控 
矿 的 奖励 ， 创 造 出 全 新 的 可 花费 比特 币 用 来 支付 给 “说 家 ”矿工 。 这 也 就 是 为 什么 比特 币 可 以 在 


挖 矿 过 程 中 被 创造 出 来 ， 我 们 将 在 “ 控 矿 ”这 一 章 进 行 详 述 。 
小 贴 士 : 输入 和 输出 ， 哪 一 个 是 先 产生 的 呢 ? 先 有 鸡 还 是 先 有 蛋 呢 ? PRR? APE 
输出 ， 因 为 可 以 创造 新 比特 币 的 “ 币 基 交易 "没有 输 M 它 可 以 无 中 生 有 地 产生 输出 。 


6.3.1 交易 输出 


每 一 笔 比 特 币 交易 都 会 创造 输出 ， 并 被 比特 币 账 簿 记录 下 来 。 除 特例 之 外 ( 见 “ 数 据 输出 操作 
ST COP RETURN) ， 几乎 所 有 的 输出 都 能 创造 一 定数 量 的 可 用 于 支付 的 比特 币 ， 也 就 是 
UTXO。 这 些 UTXO 被 整个 网 络 识别 ， 所 有 者 可 在 未 来 的 交易 中 使 用 它们 。 


UTXO 在 UTXO 集 (UTXOset) 中 被 每 一 个 全 节点 比特 币 客 户 端 追踪 。 新 的 交易 从 UTXO 集 中 
消耗 (花费 ) 一 个 或 多 个 输出 。 


交易 输出 包含 两 部 分 : 
e 一 定量 的 比特 币 ， 面 值 为 “ 联 ”(satoshis) ， 是 最 小 的 比特 币 单 位 ; 
e 确定 花费 输出 所 需 条 件 的 加 密 难 题 (cryptographic puzzle ) 


这 个 加 密 难 题 也 被 称 为 锁定 脚本 (locking script), 见证 脚本 (witness script), 389 AAA 
(scriptPubKey) ° 


有 关 交 易 脚 本 语言 会 在 后 面 121 页 的 “交易 脚本 和 脚本 语言 "一 节 中 详细 讨论 。 


现在 ， 我 们 来 看 看 Alice 的 交易 (之 前 的 章节 “交易 -幕后 "所 示 ) ， 看 看 我 们 是 否 可 以 找到 并 
识别 输出 。 在 JSON 编码 中 ， 输 出 位 于 名 为 vout 的 数组 (列表 ) 中: 


"vout": [ 
x 
"value": 0.01500000, 
"scriptPubKey": "OP_DUP OP HASH160 ab68025513c3dbd2f7b92a94e0581f5d50f654e7 OP EQU 
ALVERIFY 
OP CHECKSIG" 
{ 
"value": 0.08450000, 
"scriptPubKey": "OP_DUP OP HASH160 7f9bia7fb68d60c536c2fd8aeaab5b3a8f3cc025a8 OP EQU 
ALVERIFY OP CHECKSIG", 
} 
] 


如 您 所 见 ， 交 易 包含 两 个 输出 。 每 个 输出 都 由 一 个 值 和 一 个 加 密 难 题 来 定义 。 在 Bitcoin 
Core 显示 的 编码 中 ， 该 值 显示 以 bitcoin 为 单位 ， 但 在 交易 本 身 中 ， 它 被 记录 为 以 satoshis 
为 单位 的 整数 。 每 个 输出 的 第 二 部 分 是 设 定 支出 条 件 的 加 密 难 题 。 Bitcoin Core 将 其 显示 为 
scriptPubKey， 并 向 我 们 展示 了 一 个 可 读 的 脚本 表示 。 


稍 后 将 在 脚本 构造 (Lock + Unlock) 中 讨论 锁定 和 解锁 UTXO 的 主题 。 在 ScriptPubKey 中 
用 于 编辑 脚本 的 脚本 语言 在 章节 Transaction Scripts (交易 脚本 ) 和 Script Language (脚本 语 
言 ) 中 讨论 。 但 在 我 们 深入 研究 这 些 话题 之 前 ， 我 们 需要 了 解 交 易 输 入 和 输出 的 整体 结构 。 


6.3.1.1 交 易 序列 化 - 输出 


当 交易 通过 网 络 传输 或 在 应 用 程序 之 间 交 换 时 ， 它 们 被 序列 化 。 序 列 化 是 将 内 部 的 数据 结构 
表示 转换 为 可 以 一 次 发 送 一 个 字 节 的 格式 (也 称 为 字 节 流 ) 的 过 程 。 序 列 化 最 常用 于 编码 通 
过 网 络 传输 或 用 于 文件 中 存储 的 数据 结构 。 交易 输出 的 序列 化 格式 如 下 表 所 示 : 


Size Field Description 
8 bytes (little-endian) ^ Amount Bitcoin value in satoshis (10° bitcoin) 
1-9 bytes (Varlnt) Locking-Script Size ^ Locking-Script length in bytes, to follow 
Variable Locking-Script A script defining the conditions needed to spend the output 


大 多 数 比 特 币 函 数 库 和 架构 不 会 在 内 部 将 交易 存储 为 字 节 流 ， 因 为 每 次 需要 访问 单个 字段 
时 ， 都 需要 复杂 的 解析 。 为 了 方便 和 可 读 性 ， 比 特 币 画 数 库 将 交易 内 部 存储 在 数据 结构 ( 通 
常 是 面向 对 象 的 结构 ) 中 。 


从 交易 的 字 节 流 表示 转换 为 函数 库 的 内 部 数据 结构 表示 的 过 程 称 为 反 序 列 化 或 交易 解析 。 转 
换 回 字 节 流 以 通过 网 络 传输 、 哈 希 化 (hashing) 或 存储 在 磁盘 上 的 过 程 称 为 序列 化 。 大 多 数 
比特 币 函 数 库 具有 用 于 交易 序列 化 和 反 序 列 化 的 内 置 函 数 。 


看 看 是 否 可 以 从 序列 化 的 十 六 进 制 形式 手动 解码 Alice 的 交易 中 ， 找 到 我 们 以 前 看 到 的 一 些 元 
素 。 包 含 两 个 输出 的 部 分 在 下 面 中 已 加 粗 显 示 : 


0100000001186f9f998a5aa6f048e51dd8419a14d8a0f1a8a2836dd73 
4d2804fe65fa35779000000008b483045022100884d142d86652a3f47 
ba4746ec719bbfbd040a570b1deccbb6498c75c4ae24cb02204b9f039 
ff08df09cbe9f6addac960298cad530a863ea8f53982c09db8f6e3813 
01410484ecc0d46f1918b30928fa0e4ed99f16a0fb4fde0735e7ade84 
16ab9fe423cc5412336376789d172787ec3457eee41c04f4938de5cc1 
7b4a10fa336a8d752adfffffffff0260e31600000000001976a914ab6 
8025513c3dbd2f7b92a94e0581f5d50f654e788acd0ef800000000000 
1976a9147f9b1a7fb68d60c536c2fd8aeaa53a8f3cc025a888ac 00000000 


这 里 有 一 些 提 示 : 


。 加 粗 显 示 的 部 分 有 两 个 输出 ， 每 个 都 如 本 节 之 前 所 述 进行 了 序列 化 。 


0.015 543 ffi $5 i 48.7€ 1,500,000 satoshis ° 这 是 十 六 进 制 的 16 e3 60» 

在 串 行 化 交易 中 ， 值 16 e3 60 以 小 端 〈 最 低 有 效 字 节 优 先 ) 字 节 顺序 进行 编码 ， 所 以 它 看 
起 来 像 60 e3 16 ° 

scriptPubKey 的 长 度 为 25 个 字 节 ， 以 十 六 进 制 显示 为 19 个 字 节 。 


6.3.23 H iA 


交易 输入 将 UTXO (通过 引用 ) 标记 为 将 被 消费 ， 并 通过 解锁 脚本 提供 所 有 权证 明 。 


要 构建 一 个 交易 ， 一 个 钱包 从 它 控 制 的 UTXO 中 选择 足够 的 价值 来 执行 被 请 求 的 付款 。 有 时 
一 个 UTXO 就 足够 ， 其 他 时 候 不 止 一 个 。 对 于 将 用 于 进行 此 付款 的 每 个 UTXO ， 钱 包 将 创建 一 
个 指向 UTXO 的 输入 ， 并 使 用 解锁 脚本 解锁 它 。 


让 我 们 更 详细 地 看 一 下 输入 的 组 件 。 输 入 的 第 一 部 分 是 一 个 指向 UTXO 的 指针 ， 通 过 指向 
UTXO 被 记录 在 区 块 链 中 所 在 的 交易 的 哈 希 值 和 序列 号 来 实现 。 第 二 部 分 是 解锁 脚本 ， 钱 包 
构建 它 用 以 满足 设 定 在 UTXO 中 的 支出 条 件 。 大 多 数 情况 下 ， 解 锁 脚本 是 一 个 证 明 比 特 币 所 
有 权 的 数字 签名 和 公 铀 ， 但 是 并 不 是 所 有 的 解锁 脚本 都 包含 签名 。 第 三 部 分 是 序列 号 ， 稍 后 
再 讨论 $ 


考虑 我 们 在 之 前 交易 幕后 章节 提 到 的 例子 。 交 易 输入 是 一 个 名 为 vin 的 数组 (列表) 


Waite “lL 


{ 


"txid": "7957a35fe64f80d234d76d83a2a8f1a0d8149a41d81de548f0a65a8a999f6f18", 
"vout": O, 
"scriptSig" : "3045022100884d142d86652a3f47ba4746ec719bbfbd040a570b1deccbb6498c75c 


4ae24cb02204b9f039ff08df09cbe9f6addac960298cad530a863ea8f53982c09db8f6e3813[ALL] 0484e 
cc0d46f1918b30928fa0e4ed99f16a0fb4fde0735e7ade8416ab9fe423cc5412336376789d172787ec3457 
eee41c04f4938de5cc17b4a10fa336a8d752adf", 


] 


"sequence": 4294967295 


} 


如 您 所 见 ， 列 表 中 只 有 一 个 输入 (因为 一 个 UTXO 包 含 足够 的 值 来 完成 此 付款 ) 。 输 入 包含 
四 个 元 素 : 


一 个 交易 ID， 引 用 包含 正在 使 用 的 UTXO 的 交易 

一 个 输出 索引 (vout) ， 用 于 标识 来 自 该 交易 的 哪个 UTXO 被 引用 (第 一 个 为 零 ) 
一 个 scriptSig (解锁 脚本 ) ， 满 足 放置 在 UTXO 上 的 条 件 ， 解 锁 它 用 于 支出 

一 个 序列 号 ( 稍 后 讨论 ) 


在 Alice 的 交易 中 ， 输 入 指向 的 交易 ID 是 : 


7957a35fe64f80d234d76d83a2a8f1a0d8149a41d81de548f0a65a8a999f6f18 


输出 索引 是 0 ( 即 由 该 交易 创建 的 第 一 个 UTXO) 。 解锁 脚本 由 Alice 的 钱包 构建 ， 首 先 检 索引 
用 的 UTXO， 检 查 其 锁定 脚本 ， 然 后 使 用 它 来 构建 所 需 的 解锁 脚本 以 满足 此 要 求 。 


仅仅 看 这 个 输入 ， 你 可 能 已 经 注意 到 ， 除 了 对 包含 它 引 用 的 交易 之 外 ， 我 们 无 从 了 解 这 个 
UTXO 的 任何 内 容 。 我 们 不 知道 它 的 价值 (多 少 satoshi 金 额 )， 我 们 不 知道 设置 支出 条 件 的 
锁定 脚本 。 要 找到 这 些 信息 ， 我 们 必须 通过 检索 整个 交易 来 检索 被 引用 的 UTXO。 请 注意 ， 由 
于 输入 的 值 未 明确 说 明 ， 因 此 我 们 还 必须 使 用 被 引用 的 UTXO 来 计算 在 此 交易 中 支付 的 费用 
(参见 后 面 交 易 费 用 章节 ) 。 


不 仅仅 是 Alice 的 钱包 需要 检索 输入 中 引用 的 UTXO。 一 旦 将 该 交易 广播 到 网 络 ， 每 个 验证 节 
点 也 将 需要 检索 交易 输入 中 引用 的 UTXO， 以 验证 该 交易 。 


因为 缺乏 语 境 ， 交 易 本 身 似 乎 不 完整 。 他 们 在 输入 中 引用 UTXO， 但 是 没有 检索 到 UTXO， 我 
们 无 法 知道 输入 的 值 或 其 锁定 条 件 。 当 编写 比特 币 软 件 时 ， 无 论 何 时 解码 交易 以 验证 它 或 计 
算 费 用 或 检查 解锁 脚本 ， 您 的 代码 首先 必须 从 块 链 中 检索 引用 的 UTXO， 以 构建 隐 含 但 不 存在 
于 输入 的 UTXO 引 用 中 的 语 境 。 例 如 ， 要 计算 支付 总 额 的 交易 费 ， 您 必须 知道 输入 和 输出 值 的 
总 和 。 但 是 ， 如 果 不 检 索 输 入 中 引用 的 UTXO， 则 不 知道 它们 的 值 。 因 此 ， 在 单个 交易 中 计算 
交易 费用 的 简单 操作 ， 实 际 上 涉及 多 个 交易 的 多 个 步骤 和 数据 。 


我 们 可 以 使 用 与 比特 币 核心 相同 的 命令 序列 ， 就 像 我 们 在 检索 Alice 的 交易 
(getrawtransaction 和 decodeawtransaction ) 时 一 样 。 因 此 ， 我 们 可 以 得 到 在 前 面 的 输入 中 
引用 的 UTXO， 并 查看 : 


输入 中 引用 的 来 自 Alice 以 前 的 交易 中 的 UTXO : 


"vout": [ 


t 
"value": 0.10000000, 


"scriptPubKey": "OP_DUP OP HASH160 7f9bi1a7fb68d60c536c2fd8aeaa53a8f3cc025a8 OP EQ 
UALVERIFY OP CHECKSIG" 


} 
] 


我 们 看 到 这 个 UTXO 的 值 为 0.1BTC， 并 且 它 有 一 个 包含 “OP_DUP OP_HASH160 .… 的 锁定 脚 
本 (scriptPubKey) ° 


小 贴 士 : 为 了 充分 了 解 Alice 的 交易 ， 我 们 必须 检索 引用 以 前 的 交易 作为 输入 。 检索 以 前 
的 交易 和 未 花费 的 交易 输出 的 函数 是 非常 普遍 的 ， 并 且 存 在 于 几乎 每 个 比特 币 函 数 库 和 
APIF ° 


6.3.2.1 交 易 序列 化 -- 交 易 输 入 


当 交 易 被 序列 化 以 在 网 络 上 传输 时 ， 它 们 的 输入 被 编码 成 字 节 流 ， 如 下 表 所 示 


Size 


32 bytes 


4 bytes 


Field Description 
Transaction Hash Pointer to the transaction containing the UTXO to be spent 
Output Index The index number of the UTXO to be spent; first one is 0 


1-9 bytes (Varlnt) ^ Unlocking-Script Size ^ Unlocking-Script length in bytes, to follow 


Variable 


4 bytes 


Unlocking-Script A script that fulfills the conditions of the UTXO locking script 


Sequence Number Used for locktime or disabled (OxFFFFFFFF) 


与 输出 一 样 ， 我 们 来 看 看 我 们 是 否 可 以 从 序列 化 格式 的 Alice 的 交易 中 找到 输入 。 首先 ， 将 


输入 解码 : 
"vin": 
[ 
{ 
"txid": "7957a35fe64f80d234d76d83a2a8f1a0d8149a41d81de548f0a65a8a999f6f18", 
"vout": 0, 
"scriptSig" : "3045022100884d142d86652a3f47ba4746ec719bbfbd040a570b1deccbb6498c75c 


4ae24cb02204b9f039ff08df09cbe9f6addac960298cad530a863ea8f53982c09db8f6e3813[ALL] 0484e 
cc0d46f1918b30928fa0e4ed99f16a0fb4fde0735e7ade8416ab9fe423cc5412336376789d172787ec3457 
eee41c04f4938de5cc17b4a10fa336a8d752adf", 

"sequence": 4294967295 


现在 ， 我 们 来 看 看 我 们 是 否 可 以 识别 下 面 这 些 以 十 六 进 制 表示 法 表示 的 字段 : 


0100000001186f9f998a5aa6f048e51dd8419a14d8a0f1a8a2836dd73 
4d2804fe65fa35779000000008b483045022100884d142d86652a3f47 
ba4746ec719bbfbd040a570b1deccbb6498c75c4ae24cb02204b9f039 
ffo8dfO9cbe9f6addac960298cad530a863ea8f53982c09db8f6e3813 
01410484ecc0d46f1918b30928fa0e4ed99f16a0fb4fde0735e7ade84 
16ab9fe423cc5412336376789d172787ec3457eee41c04f4938de5cc1 
7b4a10fa336a8d752adfffffffff0260e31600000000001976a914ab6 
8025513c3dbd2f7b92a94e058 1 f5d50f654e788acd0ef800000000000 
1976a9147f9b1a7fb68d60c536c2fd8aeaa53a8f3cc025a888ac00000 000 


\ 


提示 : 


。 交易 ID 以 反 转 字 节 顺序 序列 化 ， 因 此 以 (十 六 进 制 ) 18 开 头 ， 以 79 结 尾 
e 输出 索引 为 4 字 节 组 的 “0”， 容 易 识 别 

e scriptSig 的 长 度 为 139 个 字 节 ， 或 十 六 进 制 为 8b 

e 序列 号 设置 为 FFFFFFFF， 也 容易 识别 


6.3.3 交易 


费 


大 多 数 交 易 包含 交易 费 (矿工 费 ) ， 这 是 为 了 确保 网 络 安全 而 给 比特 币 矿工 的 一 种 补偿 。 费 
用 本 身 也 作为 一 个 安全 机 制 ， 使 经 济 上 不 利于 攻击 者 通过 交易 来 淹没 网 络 。 对 于 挖 矿 、 费 用 
和 矿工 得 到 的 奖励 ， 在 挖 矿 一 章 中 将 有 更 详细 的 讨论 。 


这 一 节 解 释 交 易 费 是 如 何 被 包含 在 一 个 典型 的 交易 中 的 。 大 多 数 钱包 自动 计算 并 计 入 交易 
费 。 但 是 ， 如 果 你 以 编程 方式 构造 交易 ， 或 者 使 用 命令 行 界面 ， 你 必须 手动 计算 并 计 入 这 些 
费用 。 


交易 费 作为 矿工 打包 GF) 一 笔 交易 到 下 一 个 区 块 中 的 一 种 激励 ; 同时 作为 一 种 抑制 因 
素 ， 通 过 对 每 一 笔 交 易 收 取 小 额 费用 来 防止 对 系统 的 滥用 。 成 功 挖 到 某 区 块 的 矿工 将 得 到 该 
区 内 包含 的 矿工 费 ， 并 将 该 区 块 添加 至 区 块 链 中 。 


交易 费 是 基于 交易 的 千 字 节 规 模 来 计算 的 ， 而 不 是 比特 币 交易 的 价值 。 总 的 来 说 ， 交 易 费 是 
根据 比特 币 网 络 中 的 市 场 力量 确定 的 。 矿 工会 依据 许多 不 同 的 标准 对 交易 进行 优先 级 排序 ， 
包括 费用 ， 他 们 甚至 可 能 在 某 些 特定 情况 下 免费 处 理 交易 。 但 大 多 数 情况 下 ， 交 易 费 影响 处 
理 优先 级 ， 这 意味 着 有 足够 费用 的 交易 会 更 可 能 被 打包 进 下 一 个 挖 出 的 区 块 中 ; 反之 交易 费 
不 足 或 者 没有 交易 费 的 交易 可 能 会 被 推迟 ， 基 于 尽力 而 为 的 原则 在 几 个 区 块 之 后 被 处 理 ， 其 
至 可 能 根本 不 被 处 理 。 交 易 费 不 是 强制 的 ， 而 且 没 有 交易 费 的 交易 最 终 也 可 能 会 被 处 理 ， 但 
是 ， 交 易 费 将 提高 处 理 优先 级 。 


随 着 时 间 的 推移 ， 交 易 费 的 计算 方式 以 及 在 交易 处 理 优先 级 上 的 影响 已 经 产生 了 变化 。 起 

初 ， 交 易 费 是 固定 的 ， 是 网 络 中 的 一 个 国定 常数 。 渐 渐 地 ， 随 着 网 络 容量 和 交易 量 的 不 断 变 
化 ， 并 可 能 受到 来 自 市 场 力 量 的 影响 ， 收 费 结构 开始 放松 。 自 从 至 少 2016 年 初 以 来 ， 比 特征 
网 络 容 量 的 限制 已 经 造成 交易 之 间 的 竞争 ， 从 而 导致 更 高 的 费用 ， 免 费 交 易 彻 底 成 为 过 去 

式 。 零 费用 或 非常 低 费 用 的 交易 鲜 少 被 处 理 ， 有 时 甚至 不 会 在 网 络 上 传播 。 


Æ Bitcoin Core 中 ， 费 用 传递 政策 由 minrelaytxfee 选 项 设置 。 目 前 默认 的 minrelaytxfee 是 每 
千 字 节 0.00001 比 特 币 或 者 millibitcoin 的 1%。 因此 ， 默 认 情 况 下 ， 费 用 低 于 0.0001 比 特 币 的 
交易 是 免费 的 ， 但 只 有 在 内 存 池 有 空间 时 才 会 被 转发 ; 否则 ， 会 被 丢弃 。 比特 币 节 点 可 以 通过 
调整 minrelaytxfee 的 值 来 覆盖 默认 的 费用 传 策 略 。 


任何 创建 交易 的 比特 币 服务 ， 包 括 钱包 ， 交 易 所 ， 零 售 应 用 等 ， 都 必须 实现 动态 收费 。 动 态 
费用 可 以 通过 第 三 方 费用 估算 服务 或 内 置 的 费用 估算 章法 来 实现 。 如 果 您 不 确定 ， 那 就 从 第 
三 方 服务 开始 ， 如 果 您 希望 去 除 第 三 方 依赖 ， 您 应 当 有 设计 和 部 署 自己 算法 的 经 验 。 


费用 估算 算法 根据 网 络 能 力 和 "竞争 "交易 提供 的 费用 计算 适当 的 费用 。 这 些 算法 的 范围 从 十 分 
简单 的 (最 后 一 个 块 中 的 平均 值 或 中 位 数 ) 到 非常 复杂 的 (统计 分 析 ) AAR x oo eT 
必要 的 费用 (以 字 节 为 单位 ) ， 这 将 使 得 交易 具有 很 高 的 可 能 性 被 选择 并 打包 进 一 定 数量 的 
块 内 。 大 多 数 服 务 为 用 户 提 供 高 、 中 、 低 优先 费用 的 选择 。 高 优先 级 意味 着 用 户 支付 更 高 的 
交易 费 ， 但 交易 可 能 就 会 被 打包 进 下 一 个 块 中 。 中 低 优 先 级 意味 着 用 户 支付 较 低 的 交易 费 ， 
但 交易 可 能 需要 更 长 时 间 才 能 确认 。 


许多 钱包 应 用 程序 使 用 第 三 方 服务 进行 费用 计算 。 一 个 流行 的 服务 是 
http://bitcoinfees.21.co， 它 提供 了 一 个 APl 和 一 个 可 视 化 图 表 ， 以 satoshi / byte 为 单位 显示 了 
不 同 优先 级 的 费用 。 


小 贴 士 : 静态 费用 在 比特 币 网 络 上 不 再 可 行 。 设 置 静态 费用 的 钱包 将 导致 用 户 体 验 不 
佳 ， 因 为 交易 往往 会 被 “ 卡 住 ”， 并 不 被 确认 。 不 了 解 比 特 币 交易 和 费用 的 用 户 因 交易 
被 “ 卡 住 ” 而 感到 肖 责 ， 因 为 他 们 认为 自己 已 经 失去 了 资金 。 


下 面 费用 估算 服务 bitcoinfees.21.co 中 的 图 表 显 示 了 10 个 satoshi / byte? x $4 5r A Sc i fe 
计 ， 以 及 每 个 范围 的 费用 交易 的 预期 确认 时 间 (分 钟 和 块 数 ) 。 对 于 每 个 收费 范围 (例如 ， 
61-70 satoshi / 字 节 ) ， 两 个 水 平 栏 显示 过 去 24 小 时 (102,975) 中 未 确认 交易 的 数量 
(1405) 和 交易 总 数 ， 费 用 在 该 范围 内 。 根据 图 表 ， 此 时 推荐 的 高 优先 费用 为 80 satoshi / 字 
节 ， 这 可 能 导致 交易 在 下 一 个 块 〈 零 块 延迟 ) 中 开采 。 据 合 理 判 断 ， 一 笔 常 规 交 易 的 大 小 约 
为 226 字 节 ， 因 此 单 笔 交易 建议 费用 为 18,080 satoshis (0.00018080 BTC) ° 


费用 估算 数据 可 以 通过 简单 的 HTTP REST 
API (https://bitcoinfees.21.co/api/v1/fees/recommended) 来 检索 。 例如 ， 在 命令 行 中 使 用 
curler 4 : 


运用 费用 估算 API 


$ curl https://bitcoinfees.21.co/api/vi/fees/recommended 


{"fastestFee":80, "halfHourFee":80, "hourFee":60} 


API 通 过 费用 估算 以 satoshi per byte 的 方式 返回 一 个 JSON 对 象 ， 从 而 实现 "最 快 确认 ” 
(fastestFee)， 以 及 在 三 个 块 (halfHourFee) 和 六 个 块 (hourFee) 内 确认 。 


Fees Ó Unconfirmed transactions / Transactions today Delay @ Time 
0 11-Inf 70-Inf 

10 2-18 0-240 
-20 1-18 0-240 
30 16 0-180 
1-40 0-11 0-180 
1-50 0-6 0-80 
60 4 0-60 
51-70 102975 )-1 0-35 
80 0 0-30 
1-90 0 0-30 
1-100 0 0-30 
110 0 0-30 
120 0 0-30 
121+ 0 0-30 





6.3.4 把 交易 费 加 到 交易 中 


交易 的 数据 结构 没有 交易 费 的 字段 。 相 替代 地 ， 交 易 费 是 指 输入 和 输出 之 间 的 差 值 。 从 所 有 
输入 中 扣 掉 所 有 输出 之 后 的 多 余 的 量 会 被 矿工 作为 矿工 费 收集 走 : 


交易 费 即 输入 总 和 减 输出 总 和 的 余 量 : 交易 费 = 求 和 (所 有 输入 ) - 求 和 (所 有 输出 ) 


正确 理解 交易 比较 困难 ， 但 又 尤为 重要 。 因 为 如 果 你 要 构建 你 自己 的 交易 ， 你 必须 确保 你 没 
有 因 朴 忽 在 交易 中 添加 一 笔 大 量 交 易 费 而 大 大 减少 了 输入 的 可 花费 额 。 这 意味 着 你 必须 计算 
所 有 的 输入 ， 如 有 必要 则 加 上 找 零 ， 不 然 的 话 ， 结 果 就 是 你 给 了 矿工 一 笔 相 当 可 观 的 劳务 
费 ! 
举例 来 说 ， 如 果 你 消耗 了 一 个 20 比 特 币 的 UTXO 来 完成 1 比特 币 的 付款 ， 你 必须 包含 一 笔 19 比 
FEDES 。 否则 ， 那 剩 下 的 19 比 特 币 会 被 当 作 交易 费 ， 并 将 由 挖 出 你 交易 的 
矿工 收 走 。 尽 管 你 会 得 到 高 优先 级 的 处 理 ， 并 且 让 一 个 矿工 喜出望外 ， 但 这 很 可 能 不 是 你 想 
要 的 。 
警告 ; 如 果 你 忘记 了 在 手动 构造 的 交易 中 增加 找 零 的 输出 ， 系 统 会 把 找 零 当 作 交易 费 来 
AE o “RART | "也 许 不 是 你 的 真实 意愿 。 
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花费 会 变 成 0.016。 因 此 她 的 钱包 需要 凑 齐 0.016 或 更 多 的 UTXO。 如 果 需 要 ， 还 要 加 上 找 
零 。 我 们 假设 他 的 钱包 有 一 个 0.2 比 特 币 的 UTXO 可 用 。 他 的 钱包 就 会 消耗 掉 这 个 UTXO， 创 
造 一 个 新 的 0.015 的 输出 给 Bob 的 咖啡 店 ， 另 一 个 0.184 比 特 币 的 输出 作为 找 零 回 到 Alice 的 钱 
包 ， 并 留 下 未 分 配 的 0.001 矿 工 费 内 含 在 交易 中 。 


现在 让 我 们 看 看 另 一 种 情况 。Eugenia， 我 们 在 菲律宾 的 儿童 募捐 项 目 主管 ， 完 成 了 一 次 为 孩 
子 购 买 教材 的 筹 款 活动 。 她 从 世界 范围 内 接收 到 了 好 几 千 份 小 额 捐 款 ， 总 额 是 50 比 特 币 。 所 
以 她 的 钱包 塞 满 了 非常 小 的 UTXO。 现 在 她 想 用 比特 币 从 本 地 的 一 家 出 版 商 购 买 几 百 本 教材 。 


现在 Eugenia 的 钱包 应 用 想 要 构造 一 个 单 笔 大 额 付 款 交 易 ， 它 必须 从 可 用 的 、 由 很 多 小 数额 构 
成 的 大 的 UTXO 集 合 中 了 寻求 钱币 来 源 。 这 意味 着 交易 的 结果 是 从 上 百 个 小 额 UTXO 中 作为 输 
入 ， 但 只 有 一 个 输出 用 来 付 给 出 版 商 。 输 入 数量 这 么 巨大 的 交易 会 比 一 千 字 节 要 大 ， 也 许 总 
尺寸 会 达到 两 至 三 千 字 节 。 结 果 是 它 将 需要 比 中 等 规模 交易 要 高 得 多 的 交易 费 。 


Eugenia 的 钱包 应 用 会 通过 测量 交易 的 大 小 ， 乘 以 每 千 字 节 需 要 的 费用 来 计算 适当 的 交易 费 。 
很 多 钱包 会 支付 较 大 的 交易 费 ， 确 保 交 易 得 到 及 时 处 理 。 更 高 交易 费 不 是 因为 Eugenia 付 的 钱 
很 多 ， 而 是 因为 她 的 交易 很 复杂 并 且 尺 寸 更 大 一 一 交易 费 是 与 参加 交易 的 比特 币值 无 关 的 。 


6.4 比 特 币 交易 脚本 和 脚本 语言 


比特 币 交 易 脚 本 语言 ， 称 为 脚本 ， 是 一 种 类 似 Forth 的 逆 波 兰 表 达 式 的 基于 堆栈 的 执行 语言 。 
如 果 听 起 来 不 知 所 云 ， 是 你 可 能 还 没有 学 习 20 世 纪 60 年 代 的 编程 语言 ， 但 是 没关系 ， 我 们 将 
在 本 章 中 解释 这 一 切 。 放 置 在 UTXO 上 的 锁定 脚本 和 解锁 脚本 都 以 此 脚本 语言 编写 。 当 一 笔 
比特 币 交 易 被 验证 时 ， 每 一 个 输入 值 中 的 解锁 脚本 与 其 对 应 的 锁定 脚本 同时 ( 互 不 干扰 地 ) 

执行 ， 以 确定 这 笔 交 易 是 否 满足 支付 条 件 。 


脚本 是 一 种 非常 简单 的 语言 ， 被 设计 为 在 执行 范围 上 有 限制 ， 可 在 一 些 硬件 上 执行 ， 可 能 
嵌入 式 装置 一 样 简单 。 它 仅 需要 做 最 少 的 处 理 ， 许 多 现代 编程 语言 可 以 做 的 花哨 的 事情 它 都 
不 能 做 。 但 用 于 验证 可 编程 货币 ， 这 是 一 个 经 深思 熟 虑 的 安全 特性 。 


如 今 ， 大 多 数 经 比特 币 网 络 处 理 的 交易 是 以 "Alice 付 给 Bob” 的 形式 存在 ， 并 基于 一 种 称 
A"P2PKH" (Pay-toPublic-Key-Hash) 脚本 。 但 是 ， 比 特 币 交易 不 局 限于 “支付 给 Bob 的 比特 
币 地 址 "的 脚本 。 事 实 上 ， 锁 定 脚本 可 以 被 编写 成 表达 各 种 复杂 的 情况 。 为 了 理解 这 些 更 为 复 
杂 的 脚本 ， 我 们 必须 首先 了 解 交易 脚本 和 脚本 语言 的 基础 知识 。 


在 本 节 中 ， 我 们 将 会 展示 比特 币 交易 脚本 语言 的 各 个 组 件 ; 同时 ， 我 们 也 会 演示 如 何 使 用 它 
去 表达 简单 的 使 用 条 件 以 及 如 何 通 过 解锁 脚本 去 满足 这 些 花 费 条 件 。 


小 贴 士 : 比特 币 交 易 验 证 并 不 基于 静态 模式 ， 而 是 通过 脚本 语言 的 执行 来 实现 的 。 这 种 
语言 允许 表达 几乎 无 限 的 各 种 条 件 。 这 也 是 比特 币 作 为 一 种 “可 编程 的 货币 "所 拥有 的 力 
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6.4.1 图 灵 非 完备 性 


比特 币 脚 本 语言 包含 许多 操作 码 ， 但 都 故意 限定 为 一 种 重要 的 模式 一 一 除了 有 条 件 的 流 控制 
以 外 ， 没 有 循环 或 复杂 流 控制 能 力 。 这 样 就 保证 了 脚本 语言 的 图 灵 非 完备 性 ， 这 意味 着 脚本 
有 限 的 复杂 性 和 可 预见 的 执行 次 数 。 脚 本 并 不 是 一 种 通用 语言 ， 这 些 限制 确保 该 语言 不 被 用 
于 创造 无 限 循 环 或 其 它 类 型 的 逻辑 炸弹 ， 这 样 的 炸弹 可 以 植 入 在 一 笔 交 易 中 ， 引 起 针对 比特 
币 网 络 的 “拒绝 服务 "攻击 。 记 住 ， 每 一 笔 交易 都 会 被 网 络 中 的 全 节点 验证 ， 受 限制 的 语言 能 防 
止 交易 验证 机 制 被 作为 一 个 漏洞 而 加 以 利用 。 





6.4.2 去 中 心 化 验证 


比特 币 交 易 脚 本 语言 是 没有 中 心 化 主体 的 ， 没 有 任何 中 心 主体 能 凌驾 于 脚本 之 上 ， 也 没有 中 
心 主体 会 在 脚本 被 执行 后 对 其 进行 保存 。 所 以 执行 脚本 所 需 信息 都 已 包含 在 脚本 中 。 可 以 预 
见 的 是 ， 一 个 脚本 能 在 任何 系统 上 以 相同 的 方式 执行 。 如 果 您 的 系统 验证 了 一 个 脚本 ， 可 以 
确信 的 是 每 一 个 比特 币 网 络 中 的 其 他 系统 也 将 验证 这 个 脚本 ， 这 意味 着 一 个 有 效 的 交易 对 每 
个 人 而 言 都 是 有 效 的 ， 而 且 每 一 个 人 都 知道 这 一 点 。 这 种 结果 可 预见 性 是 比特 币 系统 的 一 项 
至 关 重 要 的 良性 特征 。 


6.4.3 脚本 构建 (锁定 与 解锁 ) 
比特 币 的 交易 验证 引擎 依赖 于 两 类 脚本 来 验证 比特 币 交 易 : 锁定 脚本 和 解锁 脚本 。 


锁定 脚本 是 一 个 放置 在 输出 上 面 的 花费 条 件 : 它 指 定 了 今后 花费 这 笔 输出 必须 要 满足 的 条 

件 。 由 于 锁定 脚本 往往 含有 一 个 公 角 或 比特 币 地 址 ( 公 铀 哈 希 值 ) ， 在 历史 上 它 曾 被 称 为 脚 
KASA (scriptPubKey) 。 由 于 认识 到 这 种 脚本 技术 存在 着 更 为 广泛 的 可 能 性 ， 在 本 书 中 ， 我 
们 将 它 称 为 "锁定 脚本 ”(locking script) 。 在 大 多 数 比 特 币 应 用 程序 中 ， 我 们 所 称 的 “锁定 脚 
本 "将 以 scriptPubKey 的 形式 出 现在 源 代码 中 。 您 还 将 看 到 被 称 为 见证 脚本 (witness script) 
的 锁定 脚本 (参见 [隔离 见证 ] 章 节 ) ， 或 者 更 一 般 地 说 ， 它 是 一 个 加 密 难 题 (cryptographic 
puzzle) » 这 些 术 语 在 不 同 的 抽象 层次 上 都 意味 着 同样 的 东西 。 


解锁 脚本 是 一 个 "解决 "或 满足 被 锁定 脚本 在 一 个 输出 上 设 定 的 花费 条 件 的 脚本 ， 它 将 允许 输出 
被 消费 。 解 锁 脚 本 是 每 一 笔 比 特 币 交易 输入 的 一 部 分 ， 而 且 往往 含有 一 个 由 用 户 的 比特 币 钱 
包 (通过 用 户 的 私 钥 ) 生成 的 数字 签名 。 由 于 解锁 脚本 常常 包含 一 个 数字 签名 ， 因 此 它 曾 被 
称 作 ScriptSig。 在 大 多 数 比 特 币 应 用 的 源 代码 中 ，ScriptSig 便 是 我 们 所 说 的 解锁 脚本 。 你 也 
会 看 到 解锁 脚本 被 称 作 "见证 ”(witness 参见 [隔离 见证 ] 章 节 ) 。 在 本 书 中 ， 我 们 将 它 称 为 “ 解 
锁 脚 本 ， 用 以 承认 锁定 脚本 的 需求 有 更 广 的 范围 。 但 并 非 所 有 解锁 脚本 都 一 定 会 包含 签名 。 


每 一 个 比特 币 验证 节点 会 通过 同时 执行 锁定 和 解锁 脚本 来 验证 一 笔 交 易 。 每 个 输入 都 包含 一 
个 解锁 脚本 ， 并 引用 了 之 前 存在 的 UTXO。 验证 软件 将 复制 解锁 脚本 ， 检 索 输 入 所 引用 的 
UTXO， 并 从 该 UTXO 复 制 锁 定 脚本 。 然后 依次 执行 解锁 和 锁定 脚本 。 如 果 解 锁 脚 本 满足 锁 
定 脚本 条 件 ， 则 输入 有 效 〈 请 参阅 单独 执行 解锁 和 锁定 脚本 部 分 ) 。 所 有 输入 都 是 独立 验证 
的 ， 作 为 交易 总 体验 证 的 一 部 分 。 


请 注意 ，UTXO 被 永久 地 记录 在 区 块 链 中 ， 因 此 是 不 变 的 ， 并 且 不 受 在 新 交易 中 引用 失败 的 党 
试 的 影响 。 只 有 正确 满足 输出 条 件 的 有 效 交 易 才 能 将 输出 视 为 “开销 来 源 "， 继 而 该 输出 将 被 
从 未 花费 的 交易 输出 集 (UTXO set) 中 删除 。 


下 图 是 最 常见 类 型 的 比特 币 交 易 〈《P2PKH: 对 公 铀 哈 希 的 付款 ) 的 解锁 和 锁定 脚本 的 示例 ， 显 
示 了 在 脚本 验证 之 前 从 解锁 和 锁定 脚本 的 并 置 产生 的 组 合 脚本 : 


Unlocking Script Locking Script 
(scriptSig) + (scriptPubKey) 
Á, | 
<sig> <PubK> DUP HASH160 <PubKHash> EQUALVERIFY CHECKSIG 
— ——áÓ—Ó— hu—————————M——————— 
Unlock Script Lock Script (scriptPubKey) is found in a transaction output and is the 
(scriptSig) is provided encumbrance that must be fulfilled to spend the output 
by the user to resolve 
the encumbrance 
6.4.3.1 脚 本 执行 堆栈 


比特 币 的 脚本 语言 被 称 为 基于 堆栈 的 语言 ， 因 为 它 使 用 一 种 被 称 为 堆栈 的 数据 结构 。 堆 栈 是 
一 个 非常 简单 的 数据 结构 ， 可 以 被 视 为 一 司 卡 片 。 栈 允许 两 个 操作 : push 和 pop (推送 和 弹 
出 ) 。 Push (推送 ) 在 堆栈 顶部 添加 一 个 项 目 。Pop (弹出 ) 从 堆栈 中 删除 最 顶端 的 项 。 栈 
上 的 操作 只 能 作用 于 栈 最 顶端 项 目 。 堆 栈 数据 结构 也 被 称 为 “后 进 先 出 ”( Last-In-First-Out) 
或 “LIFO” 队列 。 


脚本 语言 通过 从 左 到 右 处 理 每 个 项 目 来 执行 脚本 。 数 字 (数据 常量 ) 被 推 到 堆栈 上 。 操 作 码 

(Operators) 从 堆栈 中 推送 或 弹出 一 个 或 多 个 参数 ， 对 其 进行 操作 ， 并 可 能 将 结果 推送 到 堆 
栈 上 。 例 如 ， 操 作 码 OP. ADD 将 从 堆栈 中 弹出 两 个 项 目 ， 添 加 它们 ， 并 将 结果 的 总 和 推送 到 
堆栈 上 。 


条 件 操 作 码 (Conditional operators) 对 一 个 条 件 进行 评估 ， 产 生 一 个 TRUE X FALSE 的 布 

尔 结果 (boolean result) 。 例 如 ，OP EQUAL 从 堆栈 中 弹出 两 个 项 目 ， 如 果 它 们 相等 ， 则 

推送 为 TRUE (由 数字 1 表示 ) ， 否 则 推送 为 FALSE (由 数字 0 表示 ) 。 比 特 币 交易 脚本 通常 
含 条 件 操 作 码 ， 以 便 它 们 可 以 产生 用 来 表示 有 效 交 易 的 TRUE 结果 。 


6.4.3.2 一 个 简单 的 脚本 
现在 让 我 们 将 学 到 的 关于 脚本 和 扒 栈 的 知识 应 用 到 一 些 简单 的 例子 中 。 


如 图 6-4， 在 比特 币 的 脚本 验证 中 ， 执 行 简单 的 数学 运算 时 ， 脚 本 "2 3 OPADD 5 OP. EQUAL 
”演示 了 算术 加 法 操作 码 OP ADD ， 该 操作 码 将 两 个 数字 相 加 ， 然 后 把 结果 推送 到 堆栈 ， 后 

面 的 条 件 操作 答 OP_EQUAL 是 验算 之 前 的 两 数 之 和 是 否 等 于 5。 为 了 简化 起 见 ， 前 级 OP 在 
一 步 步 的 演示 过 程 中 将 被 省 略 。 有 关 可 用 脚本 操作 码 和 函数 的 更 多 详细 信息 ， 请 参见 [交易 脚 

本 ] ° 


STACK STACK STACK STACK 


STACK 


SCRIPT 
2 3 ADD 5 EQUAL 


EXECUTION 
POINTER 
Execution starts from the left 
Constant value "2" is pushed to the top of the stack 





POINTER 
Constant value “3” is pushed to the top of the stack 


SCRIPT 
ADD 5 EQUAL 


EXECUTION 
POINTER 
Operator ADD pops the top two items out of the stack and adds them together (3 add 2); 
then Operator ADD pushes the result (5) to the top of the stack 


SCRIPT 
5 EQUAL 


EXECUTION 
POINTER 


SCRIPT 
3 ADD 5 EQUAL 
EXECUTION 
Execution continues, moving to the right with each step 
Constant value "5" is pushed to the top of the stack 
SCRIPT 
EQUAL 


EXECUTION 

POINTER 
TRUE Operator EQUAL pops the top two items out of the stack and compares the values (5 and 5) 
and if they are equal, EQUAL pushes TRUE (TRUE — 1) to the top of the stack 


尽管 绝 大 多 数 解锁 脚本 都 指向 一 个 公 钥 哈 希 值 (本 质 上 就 是 比特 币 地 址 ) ， 因 此 如 果 想 要 使 
用 资金 则 需 验证 所 有 权 ， 但 脚本 本 身 并 不 需要 如 此 复杂 。 任 何 解锁 和 锁定 脚本 的 组 合 如 果 结 
RAB (TRUE) ， 则 为 有 效 。 前 面 被 我 们 用 于 说 明 脚 本 语言 的 简单 算术 操作 码 同 样 也 是 一 个 
有 效 的 锁定 脚本 ， 该 脚本 能 用 于 锁定 交易 输出 。 


使 用 部 分 算术 操作 码 脚 本 作为 锁定 脚本 的 示例 : 


3 OP ADD 5 OP EQUAL 


该 脚本 能 被 以 如 下 解锁 脚本 为 输入 的 一 笔 交 易 所 满足 : 


验证 软件 将 锁定 和 解锁 脚本 组 合 起 来 ， 结 果 脚本 是 : 


2 3 OP. ADD 5 OP EQUAL 


正如 在 上 图 中 所 看 到 的 ， 当 脚本 被 执行 时 ， 结 果 是 OP_TRUE， 交 易 有 效 。 不 仅 该 笔 交易 的 输 
出 锁定 脚本 有 效 ， 同 时 UTXO 也 能 被 任何 知晓 这 个 运算 技巧 (知道 是 数字 2) 的 人 所 使 用 。 


小 贴 士 : 如 果 堆 栈 顶 部 的 结果 显示 为 TRUE (标记 为 {Ox01}}) > PATERA” RW 
本 执行 后 堆栈 为 空 情形 ， 则 交易 有 效 。 如 果 堆 栈 顶 部 的 结果 显示 为 FALSE (0 字 节 空 值 ， 
ARIZA {{}}) 或 脚本 执行 被 操作 码 明确 禁止 ， 如 OP_VERIFY、OP_RETURN， 或 有 条 件 


终止 如 OP_ENDIF， 则 交易 无 效 。 详 见 [tx_script ops] 相 关内 容 。 


a0 


以 下 是 一 个 稍微 复杂 一 点 的 脚本 ， 它 用 于 计算 2+7-3+1“。 注 意 ， 当 脚本 在 同一 行 包 含 多 个 操 
作 码 时 ， 堆 栈 允 许 一 个 操作 码 的 结果 由 于 下 一 个 操作 码 执行 。 


2 7 OP. ADD 3 OP. SUB 1 OP ADD 7 OP EQUAL 
请 试 着 用 纸 笔 自行 演算 脚本 ， 当 脚本 执行 完毕 时 ， 你 会 在 堆栈 得 到 正确 的 结果 。 


6.4.3.3 解锁 和 锁定 脚本 的 单独 执行 


在 最 初版 本 的 比特 币 客 户 端 中 ， 解 锁 和 锁定 脚本 是 以 连锁 的 形式 存在 ， 并 被 依次 执行 的 。 出 
于 安全 因素 考虑 ， 在 2010 年 比特 币 开 发 者 们 修改 了 这 个 特性 因为 存在 “允许 异常 解锁 脚本 
推送 数据 入 栈 并 且 污染 锁定 脚本 "的 漏洞 。 而 在 当前 的 方案 中 ， 这 两 个 脚本 是 随 着 堆栈 的 传递 
被 分 别 执行 的 。 下 面 将 会 详细 介绍 。 





首先 ， 使 用 堆栈 执行 引擎 执行 解锁 脚本 。 如 果 解 锁 脚 本 在 执行 过 程 中 未 报错 (例如 : ZUR" 
挂 " 操 作 码 ) ， 则 复制 主 堆栈 (而 不 是 备用 堆栈 ) ， 并 执行 锁定 脚本 。 如 果 从 解锁 脚本 中 复制 
而 来 的 堆栈 数据 执行 锁定 脚本 的 结果 为 “TRUE"， 那 么 解锁 脚本 就 成 功 地 满足 了 锁定 脚本 所 设 


置 的 条 件 ， 因 此 ， 该 输入 是 一 个 能 使 用 该 UTXO 的 有 效 授权 。 如 果 在 合并 脚本 后 的 结果 不 
是 ”TRUE" 以 外 的 任何 结果 ， 输 入 都 是 无 效 的 ， 因 为 它 不 能 满足 UTXO 中 所 设置 的 使 用 该 笔 资 
金 的 条 件 。 


6.4.4 P2PKH (Pay-to-Public-Key-Hash) 

比特 币 网 络 处 理 的 大 多 数 交 易 花 费 的 都 是 由 “付款 至 公 角 哈 希 ”( 或 P2PKH) 脚本 锁定 的 输 
出 ， 这 些 输出 都 含有 一 个 锁定 脚本 ， 将 输入 锁定 为 一 个 公 负 哈 希 值 ， 即 我 们 常 说 的 比特 币 地 
址 。 由 P2PKH 脚 本 锁定 的 输出 可 以 通过 提供 一 个 公 钥 和 由 相应 私 钥 创建 的 数字 签名 来 解锁 
(使 用 ) 。 参 见 数字 签名 ECDSA 相 关内 容 。 


例如 ， 我 们 可 以 再 次 回顾 一 下 Alice 向 Bob 咖 啡 馆 支付 的 案例 。Alice 下 达 了 向 Bob 咖 啡 馆 的 比特 
币 地 址 支付 0.015 比 特 币 的 支付 指令 ， 该 笔 交易 的 输出 内 容 为 以 下 形式 的 锁定 脚本 : 


OP DUP OP HASH160 «Cafe Public Key Hash» OP EQUALVERIFY OP CHECKSIG 


脚本 中 的 Cafe Public Key Hash 即 为 咖啡 馆 的 比特 币 地 址 ， 但 该 地 址 不 是 基于 Base58Check 
编码 。 事 实 上 ， 大 多 数 比 特 币 地 址 的 公 钥 哈 希 值 都 显示 为 十 六 进 制 码 ， 而 不 是 大 家 所 熟知 的 
以 1 开头 的 基于 Bsase58Check 编 码 的 比特 币 地 址 。 


上 述 锁 定 脚 本 相应 的 解锁 脚本 是 : 


«cafe Signature» «Cafe Public Key» 


将 两 个 脚本 结合 起 来 可 以 形成 如 下 组 合 验证 脚本 : 


«cafe Signature» «Cafe Public Key» OP_DUP OP HASH160 
«cafe Public Key Hash» OP_EQUALVERIFY OP_CHECKSIG 


只 有 当 解 锁 脚 本 与 锁定 脚本 的 设 定 条 件 相 匹配 时 ， 执 行 组 合 验证 脚本 时 才 会 显示 结果 为 站 
(TRUE) 。 换 名 话说 ， 只 有 当 解 锁 脚 本 得 到 了 咖啡 馆 的 有 效 签 名 ， 交 易 执行 结果 才 会 被 通过 
(RAB) ， 该 有 效 签名 是 从 与 公 钥 哈 希 相 匹配 的 咖啡 馆 的 私 钥 中 所 获取 的 。 图 6-5 和 图 6- 
6 (分 两 部 分 ) 显示 了 组 合 脚本 一 步 步 检验 交易 有 效 性 的 过 程 。 


STACK 


STACK 


STACK 


«sig» 


«PubK» 


«sig» 


«PubK» 
«PubK» 


«sig» 


SCRIPT 
«sig» «PubK» DUP HASH160 «PubKHash» EQUALVERIFY CHECKSIG 








EXECUTION 
POINTER 
Execution starts 
Value «sig» is pushed to the top of the stack 


SCRIPT 
«PubK» DUP HASH160 «PubKHash» EQUALVERIFY CHECKSIG 





EXECUTION 
POINTER 
Execution continues, moving to the be with each step 
Value <PubK> is pushed to the top of the stack, on top of <sig> 


SCRIPT 
DUP HASH16@ «PubKHash» EQUALVERIFY_CHECKSIG 





EXECUTION 
POINTER 
DUP operator duplicates the top item in the stack, 
the resulting value is pushed to the top of the stack 

















SCRIPT 
HASH160 «PubKHash» EQUALVERIFY CHECKSIG 
<PubKHash> mi 
<PubK> POINTER 
5 : HASH160 operator hashes the top item in the stack with RIPEMD160(SHA256(PubK)) 
区 «51g» the resulting value (PubKHash) is pushed to the top of the stack 
SCRIPT 
<PubKHash> EQUALVERIFY CHECKSIG 
<PubKHash> t 
<PubKHash> EXECUTION 
<PubK> POINTER 
5 - The value PubKHash from the script is pushed on top of the value PubKHash calculated previously 
= <sig> from the HASH160 of the PubK 
SCRIPT 
EQUALVERIFY CHECKSIG 
EXECUTION 
<PubK> POINTER 
Š ; The EQUALVERIFY operator compares the PubKHash encumbering the transaction with the PubKHash 
m «51g» calculated from the user's PubK. If they match, both are removed and execution continues 
SCRIPT 
CHECKSIG 
EXECUTION 
POINTER 


The CHECKSIG operator checks that the signature «sig» matches the public key <PubK> and pushes 
TRUE to the top of the stack if true. 


STACK 


TRUE 


6.5 数 字 签 名 (ECDSA) 


到 目前 为 止 ， 我 们 还 没有 深入 了 解 “ 数 字 签 名 ”的 细节 。 在 本 节 中 ， 我 们 将 研究 数字 签名 的 工作 
原理 ， 以 及 如 何在 不 揭示 私 钥 的 情况 下 提供 私 钥 的 所 有 权证 明 。 


比特 币 中 使 用 的 数字 签名 算法 是 椭圆 曲线 数字 签名 算法 (Elliptic Curve Digital Signature 
Algorithm) 或 ECDSA。 ECDSA 是 用 于 基于 椭圆 曲线 私 钥 / 公 钥 对 的 数字 签名 的 算法 ， 如 椭圆 
曲线 章节 [elliptic_curve] 所 述 。 ECDSA 用 于 脚本 函数 OP_ CHECKSIG ， 
OP_CHECKSIGVERIFY > OP_CHECKMULTISIG 和 OP_CHECKMULTISIGVERIFY。 每 当 你 
锁定 脚本 中 看 到 这 些 时 ， 解 锁 脚 本 都 必须 包含 一 个 ECDSA 签 名 。 


数字 签名 在 比特 币 中 有 三 种 用 途 〈 请 参阅 下 面 的 侧 栏 ) 。 第 一 ， 签 名 证 明 私 钥 的 所 有 者 ， 即 
资金 所 有 者 ， 已 经 授权 支出 这 些 资 金 。 第 二 ， 授 权证 明 是 不 可 否认 的 【不 可 否认 性 ) 。 第 
三 ， 签 名 证 明 交 易 (或 交易 的 具体 部 分 ) 在 签字 之 后 没有 也 不 能 被 任何 人 修改 。 


请 注意 ， 每 个 交易 输入 都 是 独立 签名 的 。 这 一 点 至 关 重 要 ， 因 为 不 管 是 签名 还 是 输入 都 不 必 
由 同一 "所 有 者 "实施 。 事 实 上 ， 一 个 名 为 “CoinJoin” 的 特定 交易 方案 (多 重 签名 方案 ? ) 就 使 
用 这 个 特性 来 创建 多 方 交易 来 保护 隐私 。 


注意 : 每 个 交易 输入 和 它 可 能 包含 的 任何 签名 完全 独立 于 任何 其 他 输入 或 签名 。 BAT 
AN 


N EON 输入 。 

基 百 科 对 “数字 签名 ”的 定义 : 
数 Wu 息 或 文档 的 站 实 性 的 数学 方案 。 有 效 的 数字 签名 给 了 一 个 容 
易 接 受 的 理由 去 相信 : 1) 该 消息 是 由 已 知 的 发 送 者 (身份 认证 性 ) 创建 的 ; 2) 发 送 方 
不 能 否认 已 发 送 消息 ( es 3) 消息 在 传输 be RARE Ok | 完整 性 ) 。 


来 源 : https://en.wikipedia.org/wiki/Digital signature* 


6.5.1 数 字 签 名 如 何 工 作 

数字 签名 是 一 种 由 两 部 分 组 成 的 数学 方案 : 第 一 部 分 是 使 用 私 铀 Raw 从 消息 (X 
易 ) 创建 签名 的 算法 ; 第 二 部 分 是 允许 任何 人 验证 签名 的 算法 ， 给 定 消 息 和 公 和 钥 。 
6.5.1.1 创 建 数字 签名 


在 比特 币 的 ECDSA 算 法 的 实现 中 ， 被 签名 的 “消息 "是 交易 ， 或 更 确切 地 说 是 交易 中 特定 数据 
子 集 的 哈 希 值 (参见 签名 哈 希 类 型 (SIGHASH) ) 。 签 名 密 钥 是 用 户 的 私 铀 ， 结 果 是 签名 : 


((Sig = F{sig}(F{hash}(m), dA))) 
这 里 的 : 


e dA Æ ZZ ALSA 
e m 是 交易 (或 其 部 分 ) 
e F-hash- 是 散 列 函数 
e F-sig- 是 签名 算法 
e Sig 是 结果 签名 
ECDSA 数 学 运算 的 更 多 细节 可 以 在 ECDSA Math 章 节 中 找到 。 


函数 Fsig~ 产生 由 两 个 值 组 成 的 签名 Sig， 通 常 称 为 R 和 S : 


Sig = (R, S) 


现在 已 经 计算 了 两 个 值 R 和 S， 它 们 就 序列 化 为 字 节 流 ， 使 用 一 种 称 为 "分辨 编 码 规 
W]" (Distinguished Encoding Rules) 或 DER 的 国际 标准 编码 方案 。 


6.5.1.2 签 名 序列 化 (DER ) 


我 们 再 来 看 看 Alice 创 建 的 交易 。 在 交易 输入 中 有 一 个 解锁 脚本 ， 其 中 包含 Alice 的 钱包 中 的 以 
下 DER 编码 签名 : 


3045022100884d142d86652a3f47ba4746ec719bbfbd040a570bi1deccbb6498c75c4ae24cb02204b9f039f 
fOe8dfO9cbe9f6addac960298cad530a8863ea8f53982c09db8f6e381301 


该 签名 是 Alice 的 钱包 生成 的 R 和 S 值 的 序列 化 字 节 流 ， 证 明 她 拥有 授权 花费 该 输出 的 私 钥 。 7$ 
列 化 格式 包含 以 下 9 个 元 素 : 


e 0x30 表示 DER 序 列 的 开始 

e 0x45 -序列 的 长 度 (69 字 节 ) 

e 0x02 - 一 个 整数 值 

e 0x21- 整数 的 长 度 (33 F) 

e R-00884d142d86652a3f47ba4746ec71 9bbfbd040a570b 1deccbb6498c75c4ae24cb 
e 0x02 - 接 下 来 是 一 个 整数 

e 0x20- 整数 的 长 度 (32 字 节 ) 

e S-A4b9f039ff08df09cbe9f6addac960298cad530a863ea8f53982c09db8f6e 3813 

e EA (0x01) 指示 使 用 的 哈 希 的 类 型 (SIGHASH ALL) 


看 看 您 是 否 可 以 使 用 此 列表 解码 Alice 的 序列 化 (DER 编码 ) 签名 。 重要 的 数字 是 R 和 S; X 
据 的 其 余部 分 是 DER 编码 方案 的 一 部 分 
6.5.2 验 证 签名 


decr ， 必 须 有 签名 (RIS) 、 序 列 化 交易 和 公 钥 (对 应 于 用 于 创建 签名 的 私 钥 ) 。 本 
， 签 名 的 验证 意味 着 “只 有 生成 此 公 负 的 私 钥 的 所 有 者 ， 才 能 在 此 交易 上 产生 此 签名 。” 


签名 验证 算法 采用 消息 (交易 或 其 部 分 的 哈 希 值 ) 、 签 名 者 的 公 钥 和 签名 (R 和 S 值 ) ， 如 果 
签名 对 该 消息 和 公 钥 有 效 ， 则 返回 TRUE 值 。 


6.5.3 签 名 哈 希 类 型 (SIGHASH ) 


数字 签名 被 应 用 于 消息 ， 在 比特 币 中 ， 就 是 交易 本 身 。 签 名 意味 着 签字 人 对 特定 交易 数据 的 
承诺 (commitment) 。 在 最 简单 的 形式 中 ， 签 名 适用 于 整个 交易 ， 从 而 承诺 (commit) 所 
有 和 输入， 输出 和 其 他 交易 字段 。 但 是 ， 在 一 个 交易 中 一 个 签名 可 以 只 承诺 (commi) 一 个 数 
据 子 集 ， 这 对 于 我 们 将 在 本 节 中 看 到 的 许多 场景 是 有 用 的 。 


比特 币 签名 具有 指示 交易 数据 的 哪 一 部 分 包含 在 使 用 SIGHASH 标志 的 私 钥 签名 的 哈 希 中 的 
方式 。SIGHASH 标志 是 附加 到 签名 的 单个 字 节 。 每 个 签名 都 有 一 个 SIGHASH 标 志 ， 该 标志 
在 不 同 输入 之 间 也 可 以 不 同 。 具 有 三 个 签名 输入 的 交易 可 以 具有 不 同 SIGHASH 标 志 的 三 个 签 
名 ， 每 个 签名 签署 〈 承 诺 ) 交易 的 不 同 部 分 。 


记 住 ， 每 个 输入 可 能 在 其 解锁 脚本 中 包含 一 个 签名 。 因 此 ， 包 含 多 个 输入 的 交易 可 以 拥有 有 具 
有 不 同 SIGHASH 标 志 的 签名 ， 这 些 标 志 在 每 个 输入 中 承诺 交易 的 不 同 部 分 。 还 要 注意 ， 比 特 
币 交 易 可 能 包含 来 自 不 同 “所 有 者 "的 输入 ， 他 们 在 部 分 构建 (PEA) 的 交易 中 可 能 仅 签署 一 
个 输入 ， 继 而 与 他 人 协作 收集 所 有 必要 的 签名 后 再 使 交易 生效 。 许 多 SIGHSASH 标 志 类 型 ， 
只 有 在 你 考虑 到 由 许多 参与 者 在 比特 币 网 络 之 外 共同 协作 去 更 新 仅 部 分 签署 了 的 交易 ， 才 具 


有 三 个 SIGHASH 标 志 : ALL > NONE#*SINGLE ° w FRAR ° 


SIGHASH 


flag Value Description 
ALL 0x01 Signature applies to all inputs and outputs 
NONE 0x02 Signature applies to all inputs, none of the outputs 
SINGLE 0x03 Signature applies to all inputs but only the one output with the same index number as the 


signed input 


另外 还 有 一 个 修饰 符 标志 SIGHASH_ANYONECANPAY， 它 可 以 与 前 面 的 每 个 标志 组 合 。 当 
设置 ANYONECANPAY 时 ， 只 有 一 个 输入 被 签名 ， 其 余 的 (及 其 序列 号 ) 打开 以 进行 修改 。 
ANYONECANPAY 的 值 为 0x80， 并 通过 按 位 OR 运算 ， 得 到 如 下 所 示 的 组 合 标志 : 


SIGHASH flag Value Description 


ALLIANYONECANPAY 0x81 Signature applies to one inputs and all outputs 
NONE|ANYONECANPAY 0x82 Signature applies to one inputs, none of the outputs 


SINGLEJANYONECANPAY 0x83 Signature applies to one input and the output with the same index number 


SIGHASH 标 志 在 签名 和 验证 期 间 应 用 的 方式 是 建立 交易 的 副本 和 删节 其 中 的 某 些 字段 (设置 
长 度 为 零 并 清空 ) ， 继 而 生成 的 交易 被 序列 化 ，SIGHASH 标 志 被 添加 到 序列 化 交易 的 结尾 ， 
并 将 结果 哈 希 化 ， 得 到 的 哈 希 值 本 身 即 是 被 签名 的 "消息 ”。 基于 SIGHASH 标 志 的 使 用 ， 交 易 
的 不 同 部 分 被 删节 。 所 得 到 的 哈 希 值 取决 于 交易 中 数据 的 不 同 子 集 。 在 哈 希 化 前 ， 
SIGHASH 作 为 最 后 一 步 被 包含 在 内 ， 签 名 也 会 对 SIGHASH 类 型 进行 签署 ， 因 此 不 能 更 改 
(例如 ， 被 矿工 ) 。 


小 贴 士 : 所 有 SIGHASH 类 型 对 应 交易 nLocktime 字 段 (请 参阅 
[transaction_locktime_nlocktime] 部 分 ) 。 此 外 ，SIGHASH 类 型 本 身 在 签名 之 前 附加 到 
交易 ， 因 此 一 旦 签名 就 不 能 修改 它 。 


在 Alice 的 交易 (参见 序列 化 签名 (DER) 的 列表 ) 的 例子 中 ， 我 们 看 到 DER 编码 签名 的 最 后 
一 部 分 是 01， 这 是 SIGHASH_ALL 标 志 。 这 会 锁定 交易 数据 ， 因 此 Alice 的 签名 承诺 的 是 所 有 
的 输入 和 输出 状态 。 这 是 最 常见 的 签名 形式 。 


我 们 来 看 看 其 他 一 些 SIGHASH 类 型 ， 以 及 如 何在 实践 中 使 用 它们 : 
ALL | ANYONECANPAY 


这 种 构造 可 以 用 来 做 “ 众 筹 " 交 易 ， 试 图 筹集 资金 的 人 可 以 用 单 笔 输出 来 构建 一 个 交易 ， 单 笔 输 
出 将 “目标 "金额 付 给 众 筹 发 起 人 。 这 样 的 交易 显然 是 无 效 的 ， 因 为 它 没 有 输入 。 但 是 现在 其 他 
人 可 以 通过 添加 自己 的 输入 作为 捐赠 来 修改 它们 ， 他 们 用 ALL | ANYONECANPAY 签 署 自己 的 
输入 ， 除 非 收集 到 足够 的 输入 以 达到 输出 的 价值 ， 交 易 无 效 ， 每 次 捐赠 是 一 项 “抵押 ”， 直 到 募 
集 整 个 目标 金额 才能 由 幕 款 人 收取 。 


NONE 


该 结构 可 用 于 创建 特定 数量 的 “不 记名 支票 "或 "空白 支票 "。 它 对 输入 进行 承诺 ， 但 允许 输出 锁 
定 脚本 被 更 改 。 任 何人 都 可 以 将 自己 的 比特 币 地 址 写 入 输出 锁定 脚本 并 兑换 交易 。 然 而 ， 输 
出 值 本 身 被 签名 锁定 。 


NONE | ANYONECANPAY 


这 种 构造 可 以 用 来 建造 一 个 "吸尘器 "。 在 他 们 的 钱包 中 拥有 微小 UTXO 的 用 户 无 法 花费 这 些 费 
用 ， 因 为 手续 费用 超过 了 这 些微 小 UTXO 的 价值 。 人 和 借助 这 种 类 型 的 签名 ， 微 小 UTXO 可 以 为 任 
何人 捐赠 ， 以 便 随时 随地 收集 和 消费 。 


有 一 些 修 改 或 扩展 SIGHASH 系 统 的 建议 。 作 为 Elements 项 目的 一 部 分 ， 一 个 这 样 的 提案 是 
Blockstream 的 Glenn Willen 提 出 的 Bitmask Sighash? X, » 3à 8 4 A SIGHASH XE Æ &| i£ — + 
REWER ARATE BH Med mg LT a BAER ATRE A4 ems 
方案 ， 例 如 已 分 配 的 资产 交换 中 有 变更 的 已 签名 的 报价 ”。 


注释 : 您 不 会 在 用 户 的 钱包 应 用 程序 中 看 到 SIGHASH 标 志 作为 一 个 功能 呈现 。 少数 例 
外 ， 钱 包 会 构建 P2PKH 脚 本 ， 并 使 用 SIGHASH_ALL 标 志 进 行 签名 。 要 使 用 不 同 的 
SIGHASH 标 志 ， 您 必须 编写 软件 来 构造 和 签署 交易 。 更 重要 的 是 ，SIGHASH 标 志 可 以 
被 专用 的 比特 币 应 用 程序 使 用 ， 从 而 实现 新 阁 的 用 途 。 


6.5.4 ECDSA X € 


如 前 所 述 ， 签 名 由 产生 由 两 个 值 R 和 S 组 成 的 签名 的 数学 函数 Fsig~ 创建 。 在 本 节 中 ， 我 们 将 
查看 函数 F~sig~ 的 更 多 细节 。 


签名 算法 首先 生成 一 个 ephemeral ( 临时) 私 公 钥 对 。 在 涉及 签名 私 钥 和 交易 哈 硕 的 变换 之 
后 ， 该 临时 密 钢 对 用 于 计算 R 和 S 值 。 


临时 密 钥 对 基于 随机 数 k， 用 作 临 时 私 铜 。 从 K， 我 们 生成 相应 的 临时 公 铀 忆 (以 P = k GH 
算 ， 与 派生 比特 币 公 钥 相 同 ) ;参见 Jpubkeyj 部 分 ) 。 数 字 签 名 的 R 值 则 是 临时 公 铀 已 的 X* 坐 


标 。 


从 那里 ， 算 法 计算 签名 的 S 值 ， 使 得 : 
S = k’ (Hash(m) + dA * R) mod p 


Ev: 

e kK 是 临时 私 铀 

e 尺 是 临时 公 钥 的 x 坐标 

e dA 5 d 4 

e mx X zx 

e p 是 椭圆 曲线 的 主要 顺序 

验证 是 签名 生成 函数 的 倒数 ， 使 用 R，S 值 和 公 乌 来 计算 一 个 值 P， 该 值 是 酉 圆 曲 线 上 的 一 个 
点 (签名 创建 中 使 用 的 临时 公 铀 ) 


P=S'* Hash(m) * G + S1 * R * Qa 


其 中 : 


e 尺 和 S 是 签名 值 
e Qa» Alice &,J 4A 
e 及 是 签署 的 交易 数据 
e G 是 椭圆 曲线 发 生 器 点 
如 果 计 算 点 忆 的 x 坐标 等 于 尺 ， 则 验证 者 可 以 得 出 结论 ， 签 名 是 有 效 的 。 


请 注意 ， 在 验证 签名 时 ， 私 钥 既 不 知道 也 不 显示 。 


小 贴 士 : ECDSA 的 数学 很 复杂 ， 难 以 理解 。 网 上 有 一 些 很 棒 的 指南 可 能 有 帮助 。 搜 
索 “ECDSA 解 释 " 或 尝试 这 个 : http://bit.ly/2r70HhGB ° 


6.5.5 随 机 性 在 签名 中 的 重要 性 


如 我 们 在 ECDSA Math 中 所 看 到 的 ， 签 名 生成 算法 使 用 随机 密 钥 K 作 为 临时 私有 - 公 铀 对 的 基 
础 。k 的 值 不 重要 ， 只 要 它 是 随机 的 。 如 果 使 用 相同 的 值 k 在 不 同 的 消息 (交易 ) 上 产生 两 
个 签名 ， 那 么 签名 私 钥 可 以 由 任何 人 计算 。 在 签名 算法 中 重用 相同 的 K 值 会 导致 私 钥 的 暴 


露 ! 


警告 如 果 在 两 个 不 同 的 交易 中 ， 在 签名 算法 中 使 用 相同 的 值 K， 则 私 钥 可 以 被 计算 并 暴 
露 给 世界 ! 


这 不 仅仅 是 一 个 理论 上 的 可 能 性 。 我 们 已 经 看 到 这 个 问题 导致 私人 密 钥 在 比特 币 中 的 几 种 不 
同 实现 的 交易 签名 算法 中 的 暴露 。 人 们 由 于 无 意 中 重 复 使 用 k 值 而 将 资金 窃取 。 重 用 kK 值 的 
最 常见 原因 是 未 正确 初始 化 的 随机 数 生成 器 。 

为 了 避免 这 个 漏洞 ， 业 界 最 佳 实践 不 是 用 炉 播 种 的 随机 数 生成 器 生成 K 值 ， 而 是 使 用 交易 数 
据 本 身 播种 的 确定 性 随机 进程 。 这 确保 每 个 交易 产生 不 同 的 K 值 。 在 互联 网 工程 任务 组 
(Internet Engineering Task Force) 发 布 的 RFC 6979 中 定义 了 K 值 的 确定 性 初始 化 的 行业 标 
准 算法 。 

如 果 您 正在 实现 一 种 用 于 在 比特 币 中 签署 交易 的 算法 ， 则 必须 使 用 RFC 6979 或 类 似 的 确定 性 
随机 算法 来 确保 为 每 个 交易 生成 不 同 的 K 值 。 


6.6 比 特 币 地 址 ， 余 额 和 其 他 摘要 


在 本 章 开 始 ， 我 们 发 现 交易 的 “幕后 "看 起 来 与 它 在 钱包 、 区 块 链 浏览 器 和 其 它 面 向 用 户 的 应 
用 程序 中 呈现 的 非常 不 同 。 来 自前 几 章 的 许多 简单 而 熟悉 的 概念 ， 如 比特 币 地 址 和 余额 ， 似 
平 在 交易 结构 中 不 存在 。 我 们 看 到 交易 本 身 并 不 包含 比特 币 地 址 ， 而 是 通过 锁定 和 解锁 比特 
币 离 散 值 的 脚本 进行 操作 。 这 个 系统 中 的 任何 地 方 都 不 存在 余额 ， 而 每 个 钱包 应 用 程序 都 明 
明白 白地 显示 了 用 户 钱包 的 余额 。 

现在 我 们 已 经 探讨 了 一 个 比特 币 交 易 中 实际 包含 的 内 容 ， 我 们 可 以 检查 更 高 层次 的 抽象 概念 
是 如 何 从 交易 的 看 似 原始 的 组 成 部 分 中 派生 出 来 的 。 

我 们 再 来 看 看 Alice 的 交易 是 如 何在 一 个 受 欢 迎 的 区 块 浏览 器 (前 面 章节 Alice 与 Bob's Cafe 的 
RA) 中 呈现 的 : 


Transaction View information about a bitcoin transaction 
0627052b6f28912f2703066a912ea577f2ce4da4caa5a5fbd8a57286c345c2f2 


1GdK9UzpHBzqzX2A9JFP3Di4weBwqgmoQA 


1Cdid9KFAaatwczBwBttQcwXYOpvKBh7FK (0.1 BTC - Output) ny en cd ioa 
i czBw W. V - 
P — 1Cdid9KFAaatwczBwBttQcwXYCpvKBh7FK - 
(Unspent) 0.0845 BTC 
IE 
Summary Inputs and Outputs 
Size 258 (bytes) Total Input 0.1 BTC 
Received Time 2013-12-27 23:03:05 Total Output 0.0995 BTC 
Included In 277316 (2013-12-27 23:11:54 +9 Fees 0.0005 BTC 
Blocks minutes) 


Estimated BTC Transacted 0.015 BTC 


在 交易 的 左 侧 ， 区 块 浏览 器 将 Alice 的 比特 币 地 址 显示 为 “发送 者 "。 其 实 这 个 信息 本 身 并 不 在 交 
易 中 。 当 区 块 链接 浏览 器 检索 到 交易 时 ， 它 还 检索 在 输入 中 引用 的 先前 交易 ， 并 从 该 旧 交 易 
中 提取 第 一 个 输出 。 在 该 输出 内 是 一 个 锁定 脚本 ， 将 UTXO 锁 定 到 Alice 的 公 钥 哈 希 (P2PKH 
脚本 ) 。 块 链 浏览 器 提取 公 钥 哈 希 ， 并 使 用 Base58Check 编 码 对 其 进行 编码 ， 以 生成 和 显示 
表示 该 公 铀 的 比特 币 地 址 。 


同样 ， 在 右 侧 ， 区 块 浏览 器 显示 了 两 个 输出 ;第 一 个 到 Bob 的 比特 币 地 址 ， 第 二 个 到 Alice 的 比 
特征 地 址 (作为 找 零 ) 。 再 次 ， 为 了 创建 这 些 比 特 币 地 址 ， 区 块 链 浏览 器 从 每 个 输出 中 提取 
锁定 脚本 ， 将 其 识别 为 P2PKH 脚 本 ， 并 从 内 部 提取 公 铀 哈 希 。 最 后 ， 块 链 浏览 器 重新 编码 了 
使 用 Base58Check 的 公 铀 哈 硕 生成 和 显示 比特 币 地 址 。 


如 果 您 要 点 击 Bob 的 比特 币 地 址 ， 则 块 链接 浏览 器 将 显示 Bob 的 比特 币 地 址 的 余额 : 


Bitcoin Address 


Summary Transactions 

Address 1GdK9UzpHBzqzX2A9JFP3Di4weBwqgmoQA No. Transactions 25 di 

Hash 160 ab68025513c3dbd2f7b92a94e0581f5d50f654e7 Total Received 0.17579525 BTC di 

Tools Taint Analysis - Related Tags - Unspent Outputs Final Balance 0.17579525 BTC dh 
pon oD Lm 额 。 但 是 比特 币 系 统 中 却 没 有 "余额 ”的 概念 。 这 人 么 
说 吧 ， 这 里 显示 的 余额 其 实 是 由 区 块 链 游览 器 按 如 下 方式 构建 出 来 的 : 


为 了 构建 “总 接收 "数量 ， 区 块 链 浏览 器 首先 解码 比特 币 地 址 的 Base58Check 编 码 ， 以 检索 编码 
在 地 址 中 的 Bob 的 公 角 的 160 位 哈 希 值 。 然 后 ， 区 块 链 浏览 器 搜索 交易 数据 库 ， 使 用 包含 Bob 
公 角 哈 希 的 P2PKH 锁 定 脚 本 寻找 输出 。 通 过 总 结 所 有 输出 的 值 ， 浏览 器 可 以 产生 接收 的 总 

值 。 


完成 构建 当前 余额 (显示 为 “最 终 余额 ") 需要 更 多 的 工作 。 区 块 链接 浏览 器 将 当前 未 被 使 用 的 
答 入 保存 为 一 个 分 离 的 数据 库 __UTXO 和 集 。 为 了 维护 这 个 数据 库 ， 区 块 链 浏览 器 必须 监视 比 
特 币 网 络 ， 添 加 新 创建 的 UTXO， 并 在 已 被 使 用 的 UTXO 出 现在 未 经 确认 的 交易 中 时 ， 实 时 地 
删除 它们 。 这 是 一 个 复杂 的 过 ee 
比特 币 网 络 的 共识 ， 确 保 在 正确 的 链 上 。 有 时 区 块 链 浏览 器 未 能 保持 同步 ， 导致 其 对 UTXO 集 
的 跟踪 扫描 不 完整 或 不 正确 。 


通过 计算 UTXO 集 ， 区 块 链 浏览 器 总 结 了 引用 Bob 的 公 钾 哈 希 的 所 有 未 使 用 输出 的 值 ， 并 产生 
向 用 户 显示 的 “最 终 余 额 " 数 目 。 


为 了 生成 这 张 图 片 ， 得 到 这 两 个 “余额 ”， 区 块 链 浏览 器 必须 索引 并 搜索 数 十 、 数 百 甚 至 数 十 万 


的 交易 。 


总 之 ， 通 过 钱包 应 用 程序 、 区 块 链 浏览 器 和 其 他 比特 币 用 户 界面 呈现 给 用 户 的 信息 通常 源 于 
更 高 层次 的 ， 通 过 搜索 许多 不 同 的 交易 ， 检 查 其 内 容 以 及 操纵 其 中 包含 的 数据 而 的 抽象 而 构 
成 。 为 了 呈现 出 比特 币 交 易 类 似 于 银行 支票 从 发 送 人 到 接收 人 的 这 种 简单 视图 ， 这 些 应 用 程 


序 必 须 抽 象 许多 底层 细节 。 他 们 主要 关注 常见 的 交易 类 型 : 每 个 输入 上 具有 SIGHASH_ALL 签 
名 的 P2PKH。 因 此 ， 虽 然 比 特 币 应 用 程序 以 易于 阅读 的 方式 呈现 所 有 了 80% 以 上 的 交易 ， 但 
有 了 时候 会 被 偏离 了 常规 的 交易 难 住 。 包 含 更 复杂 的 锁定 脚本 ， 或 不 同 SIGHASH 标 志 ， 或 多 个 
输入 和 输出 的 交易 显示 了 这 些 抽象 的 简单 性 和 弱点 。 


每 天 都 有 数 百 个 不 包含 P2PKH 输 出 的 交易 在 块 上 被 确认 。 blockchain 浏 览 器 经 常 向 他 们 发 出 
红色 警告 信息 ， 表 示 无 法 解码 地 址 。 以 下 链接 包含 未 完全 解码 的 最 新 的 “奇怪 交易 
https : //blockchain.info/strange-transactions ° 


正如 我 们 将 在 下 一 章 中 看 到 的 ， 这 些 并 不 一 定 是 奇怪 的 交易 。 它 们 是 包含 比 常 见 的 P2PKH 更 
复杂 的 锁定 脚本 的 交易 。 我 们 将 学 习 如 何 解码 和 了 解 更 复杂 的 脚本 及 其 支持 的 应 用 程序 。 
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在 上 一 章 中 ， 我 们 介绍 了 比特 币 交 易 的 基本 元 素 ， 并 且 查 看 了 最 常见 的 交易 脚本 类 型 ， 即 
P2PKH 脚 本 。 在 本 章 中 ， 我 们 将 介绍 更 高 级 的 脚本 ， 以 及 如 何 使 用 它 来 构建 具有 复杂 条 件 的 
RF ° 

首先 ， 我 们 将 看 看 多 重 签 名 脚本 。 接 下 来 ， 我 们 将 检查 第 二 个 最 常见 的 交易 脚本 Pay-to- 
Script-Hash， 它 打开 了 一 个 复杂 脚本 的 整个 世界 。 然 后 ， 我 们 将 检查 新 的 脚本 操作 符 ， 通 过 
时 间 锁 定 将 比特 币 添加 时 间 维 度 。 
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多 重 签名 脚本 设置 了 一 个 条 件 ， 其 中 NN 个 公 角 被 记录 在 脚本 中 ， 并 且 至 少 有 M 个 必须 提供 签名 
来 解锁 资金 。 这 也 称 为 M-N 方 案 ， 其 中 N 是 密 铀 的 总 数 ，M 是 验证 所 需 的 签名 的 数量 。 例 如 ， 
2/3 的 多 重 签 名 是 三 个 公 角 被 列 为 潜在 签名 人 ， 至 少 有 2 个 有 效 的 签名 才能 花费 资金 。 此 时 ， 

标准 多 重 签名 脚本 限制 在 最 多 15 个 列 出 的 公 钥 ， 这 意味 着 您 可 以 从 1 到 15 之 间 的 多 重 签名 或 该 
范围 内 的 任何 组 合 执行 任何 操作 。 在 本 书 发 布 之 前 ， 限 制 15 个 已 列 出 d 的 密 钥 可 能 会 被 解除 ， 
因此 请 检查 isStandard () 函数 以 查看 当前 网 络 接受 的 内 容 。 


设置 M-N 多 重 签名 条 件 的 锁定 脚本 的 一 般 形 式 是 : 


M «Public Key 1» «Public Key 2» ... «Public Key N» N CHECKMULTISIG 


M 是 花费 输出 所 需 的 签名 的 数量 ，N 是 列 出 的 公 角 的 总 数 。 设 置 2 到 3 多 重 签名 条 件 的 锁定 脚 
本 如 下 所 示 : 


2 «Public Key A» «Public Key B» «Public Key C» 3 CHECKMULTISIG 
上 述 锁定 脚本 可 由 含有 签名 和 公 负 的 脚本 予以 解锁 : 或 者 由 3 个 存档 公 钥 中 的 任意 2 个 相 一 致 


的 私 钥 签名 组 合 予 以 解锁 。 两 个 脚本 组 合 将 形成 一 个 验证 脚本 : 


«Signature B» «Signature C» 2 «Public Key A» «Public Key B» «Public Key C» 3 CHECKMULT 
ISIG 


当 执 行 时 ， 只 有 当 未 解锁 版 脚本 与 解锁 脚本 设置 条 件 相 匹配 时 ， 组 合 脚本 才 显 示 得 到 结果 为 
4 (Ture) ° 


上 述 例 子 中 相应 的 设置 条 件 即 为 : 解锁 脚本 是 否 含有 3 个 公 铀 中 的 任意 2 个 相对 应 的 私 钥 的 有 


CHECKMULTISIG 执 行 中 的 bug 


CHECKMULTISIG 的 执行 中 有 一 个 bug， 需 要 一 些 轻 微 的 解决 方法 。 当 CHECKMULTISIG 执 
行 时 ， 它 应 该 消耗 堆栈 (stack) 上 的 M + N + 2 个 项 目 作 为 参数 。 然而 ， 由 于 该 错误 ， 
CHECKMULTISIG 将 弹出 (pop) 超出 预期 的 额外 值 或 一 个 值 。 我 们 来 看 看 这 个 更 详细 的 /使 
用 以 前 的 /验证 示例 : 


«Signature B» «Signature C» 2 «Public Key A» «Public Key B» «Public Key C» 3 CHECKMULT 
ISIG 


首先 ， CHECKMULTISIG 弹 出 最 上 面 的 项 目 ， 这 是 N (在 这 个 例子 中 N 是 c3*) 。 然 后 它 弹出 N 
个 项 目 E 这 是 可 以 签名 ay 2-4 o 在 这 个 例子 中 , ZAR A , BFC. RE ; 它 弹 出 一 个 项 H ; Bp 
M’ R (需要 多 少 个 签名 ) © RBM = 2。 此 时 ，CHECKMULTISIG 应 弹出 最 终 的 M 个 项 

目 ， 这 些 是 签名 ， 并 查看 它们 是 否 有 效 。 


然而 ， 不 幸 的 是 ， 实 施 中 的 错误 导致 CHECKMULTISIG 再 弹出 一 个 项 目 (总 共 M + 1 个 ) 。 检 
查 签名 时 ， 不 考虑 额外 的 项 目 ， 因 此 它 对 CHECKMULTISIG 本 身 没 有 直接 影响 。 人 但是， 必须 
存在 额外 的 值 ， 因 为 如 果 不 存在 ， 则 当 CHECKMULTISIG 尝 试 弹出 空 堆栈 时 ， 会 导致 堆栈 错 
误 和 脚本 失败 (将 交易 标记 为 无 效 ) 。 因 为 额外 的 项 目 被 忽略 ， 它 可 以 是 任何 东西 ， 但 通常 
使 用 0 。 


因为 这 个 bug 成 为 共识 规则 的 一 部 分 ， 所 以 现在 它 必须 永远 被 复制 。 因 此 ， 正 确 的 脚本 验证 将 
如 下 所 示 : 


0 «Signature B» «Signature C» 2 «Public Key A» «Public Key B» «Public Key C» 3 CHECKMU 
LTISIG 


这 样 解锁 脚本 就 不 是 下 面 的 : 
«Signature B» «Signature C» 
而 是 : 


0 «Signature B» «Signature C» 


从 现在 开始 ， 如 果 你 看 到 一 个 multisig 解 锁 脚 本 ， 你 应 该 期 望 看 到 一 个 额外 的 0 开始 ， 其 唯一 

的 目的 是 解决 一 个 bug， 意 外 地 成 为 一 个 共识 规则 的 解决 方法 。【 译 者 注 : 即 保证 例子 中 有 3 
个 私 钥 签名 (其 中 2 有 效 签 名 ， 其 中 1 个 为 0 的 无 效 签名 ) 对 应 3 个 公 钥 用 于 检查 多 重 签名 ， 从 
而 保证 脚本 不 产生 bug。】 


7.3 P2SH (Pay-to-Script-Hash ) 


P2SH 在 2012 年 被 作为 一 种 新 型 、 强 大 、 且 能 大 大 简化 复杂 交易 脚本 的 交易 类 型 而 引入 。 为 进 
一 步 解 释 P2SH 的 必要 性 ， 让 我 们 先 看 一 个 实际 的 例子 。 


在 第 1 章 中 ， 我 们 曾 介绍 过 Mohammed， 一 个 迪拜 的 电子 产品 进口 商 。Mohammed 的 公司 采 
用 比特 币 多 重 签名 作为 其 公司 会 计 账 簿 记 账 要 求 。 多 重 签名 脚本 是 比特 币 高 级 脚本 最 为 常见 
的 运用 之 一 ， 是 一 种 具有 相当 大 影响 力 的 脚本 。 针 对 所 有 的 顾客 支付 ( 即 应 收 账 款 ) ， 
Mohammed 的 公司 要 求 采用 多 重 签名 交易 。 基 于 多 重 签名 机 制 ， 顾 客 的 任何 支付 都 需要 至 少 
两 个 签名 才能 解锁 ， 一 个 来 自 Mohammed， 另 一 个 来 自 其 合伙 人 或 拥有 备份 钥 是 的 代理 人 。 
这 样 的 多 重 签名 机 制 能 为 公司 治理 提供 管控 便利 ， 同 时 也 能 有 效 防 范 盗窃 、 挪 用 和 遗失 。 最 
终 的 脚本 非常 长 : 


2 «Mohammed's Public Key» <Partner1 Public Key» <Partner2 Public Key» <Partner3 Public 
Key» «Attorney Public Key» 5 OP C HECKMULTISIG 


虽然 多 重 签 名 十 分 强大 ， 但 其 使 用 起 来 还 是 多 有 不 便 。 基 于 之 前 的 脚本 ，Mohammed 必 须 在 
客户 付款 前 将 该 脚本 发 送 给 每 一 位 客户 ， 而 每 一 位 顾客 也 必须 使 用 特制 的 能 产生 客户 交易 脚 
本 的 比特 币 钱包 软件 ， 每 位 顾客 还 得 学 会 如 何 利用 脚本 来 完成 交易 。 

此 外 ， 由 于 脚本 可 能 包含 特别 长 的 公 钥 ， 最 终 的 交易 脚本 可 能 是 最 初 交易 脚本 长 度 的 5 倍 之 

多 。 额 外 长 度 的 脚本 将 给 客户 造成 费用 负担 。 最 后 ， 一 个 长 的 交易 脚本 将 一 直 记录 在 所 有 节 

点 的 随机 存储 器 的 UTXO 集 中 ， 直 到 该 笔 资金 被 使 用 。 采 用 这 种 复杂 输出 脚本 使 得 在 实际 交易 
中 变 得 困难 重重 。 


P2SH 正 是 为 了 解决 这 一 实际 难题 而 被 引入 的 ， 它 旨 在 使 复杂 脚本 的 运用 能 与 直接 向 比特 币 地 
址 支付 一 样 简单 。 在 P2SH 支付 中 ， 复 杂 的 锁定 脚本 被 电子 指纹 所 取代 ， 电 子 指纹 是 指 密码 学 
中 的 哈 希 值 。 


当 一 笔 交易 试图 支付 UTXO 时 ， 要 解锁 支付 脚本 ， 它 必须 含有 与 哈 希 相 匹配 的 脚本 。P2SH 的 
含义 是 ， 向 与 该 哈 希 匹配 的 脚本 支付 ， 当 输出 被 支付 时 ， 该 脚本 将 在 后 续 呈 现 。 


在 P2SH 交 易 中 ， 人 锁定 脚本 由 哈 希 运算 后 的 20 字 节 的 散 列 值 取 代 ， 被 称 为 赎 回 脚本 。 因 为 它 在 
系统 中 是 在 赎 回 时 出 现 而 不 是 以 锁定 脚本 模式 出 现 。 表 7-1 列 示 了 非 P2SH 脚 本 ， 表 7-2 列 示 了 
P2SH 脚 本 。 


表 7-1 不 含 P2SH 的 复杂 脚本 
Locking Script 2 PubKey1 PubKey2 PubKey3 PubKey4 PubKey5 5 CHECKMULTISIG 


Unlocking Script ^ Sig1 Sig2 


表 7-2 P2SH & RBA 
Redeem Script 2 PubKey1 PubKey2 PubKey3 PubKey4 PubKey5 5 CHECKMULTISIG 


Locking Script HASH160 «20-byte hash of redeem script» EQUAL 


Unlocking Script ^ Sig1 Sig2 «redeem script» 


从 表 中 可 以 看 出 ， 对 于 P2SH， 详 细 描 述 了 输出 〈 赎 回 脚 本 ) 的 条 件 的 复杂 脚本 不 会 在 锁定 脚 
本 中 显示 。 相 反 ， 只 有 它 的 散 列 值 在 锁定 脚本 中 呈现 ， 并 且 兑 换 脚本 本 身 之 后 作为 解锁 脚本 

在 输出 花费 时 的 一 部 分 出 现 。 这 使 得 给 矿工 的 交易 费用 从 发 送 方 转移 到 收 款 方 ， 复 杂 的 计算 
工作 也 从 发 送 方 转移 到 收 款 方 。 


[ 译 者 注 ] 赎 回 脚本 (Redeem Script) 中 的 “2 Pubkey1 Pubkey2 Pubkey3 Pubkey4 Pubkey5 5 
CHECKMULTISIG” 的 内 容 ， 没 有 出 现在 锁定 脚本 (Locking Script 表 中 第 二 行内 容 ) 中 ， 但 
使 用 “2 Pubkey1 Pubkey2 Pubkey3 Pubkey4 Pubkey5 5 CHECKMULTISIG” (有 520 字 节 ) 
进行 哈 希 运算 后 的 20 字 节 的 散 列 值 取代 之 ， 然 后 将 之 (“2 Pubkey1 Pubkey2 Pubkey3 
Pubkey4 Pubkey5 5 CHECKMULTISIG") 放 到 解锁 脚本 中 (Unlocking Script) 。 这 使 得 给 矿 
工 的 交易 费用 从 发 送 方 转移 到 收 款 方 ， 并 且 令 复杂 的 计算 工作 也 从 从 发 送 方 转移 到 收 款 方 。 


让 我 们 再 看 下 Mohammed 公 司 的 例子 ， 复 杂 的 多 重 签名 脚本 和 相应 的 P2SH 脚 本 。 首先 ， 
Mohammed 公 司 对 所 有 顾客 订单 采用 多 重 签名 脚本 : 


2 <Mohammed's Public Key> 5 CHECKMULTISIG 
如 果 占 位 符 由 实际 的 公 钥 (以 04 开 头 的 520 字 节 ) 替代 ， 你 将 会 看 到 的 脚本 会 非常 地 长 : 


2 
04C16B8698A9ABF84250A7C3EA7EEDEF9897D1C8C6ADF47F06CF73370D74DCC 
A01CDCA79DCC5C395D7EEC6984D83F 1F50C900A24DD47F569FD4193AF5DE762 
C58704A2192968D8655D6A935BEAF2CA23E3FB87A3495E7AF308EDFO8DAC3C1F 
CBFC2C75B4B0F4D0B1B70CD2423657738C0C2B1D5CE65C97D78D0E3422485800 
8E8B49047E63248B75DB7379BE9CDA8CE5751D16485F431E46117B9D0C1837C9 
D5737812F393DA7D4420D7E1A9162F0279CFC10F1E8bE8F3020DECDBC3CODD389 
D99779650421D65CBD7149B255382ED7F78E946580657 EE6FDA162A187543A9D8 
5BAAA93A4AB3A8F044DADA618D087227440645ABE8A35DA8C5B73997AD343BE5 
C2AFD94A5043752580AFA1ECED3C68DA446BCAB69ACOBA7DF50D56231BEO0AABF 
1FDEEC78A6A45E394BA29A1EDF518C022DD618DA774D207D137AAB59E0BOO0E 
B7ED238F4D800 5 CHECKMULTISIG 


整个 脚本 都 可 由 仅 为 20 个 字 节 的 密码 哈 希 所 取代 ， 首 先 采 用 SH256 哈 希 算 法 ， 随 后 对 其 运用 
RIPEMD160 算 法 。20 字 节 的 脚本 为 : 


54c557e07dde5bb6cb791c7a540e0a4796f5e97 


一 笔 P2SH 交 易 运 用 锁定 脚本 将 输出 与 哈 希 关联 ， 而 不 是 与 前 面 特别 长 的 脚本 所 关联 。 使 用 的 
锁定 脚本 为 : 


HASH160 54c557e07dde5bb6cb791c7a540e0a4796f5e97e EQUAL 
正如 你 所 看 到 的 ， 这 个 脚本 比 前 面 的 长 脚本 简短 多 了 。 取 代 “ 向 该 5 个 多 重 签名 脚本 支付 X 
个 P2SH 等 同 于 “向 含 该 哈 希 的 脚本 支付 "。 顾 客 在 向 Mohammed 公 司 支付 时 ， 只 需 在 其 支付 指 


令 中 纳入 这 个 非常 简短 的 锁定 脚本 即 可 。 当 Mohammed 想 要 花费 这 笔 UTXO 时 ， 附 上 原始 赎 
回 脚本 (与 UTXO 锁 定 的 哈 希 ) 和 必要 的 解锁 签名 即 可 ， 如 : 


«Sigi» <Sig2> «2 PK1 PK2 PK3 PK4 PK5 5 CHECKMULTISIG> 


两 个 脚本 经 由 两 步 实现 组 合 。 首先 ， 将 赎 回 脚本 与 锁定 脚本 比 对 以 确认 其 与 哈 硕 是 否 匹配 : 


«2 PK1 PK2 PK3 PK4 PK5 5 CHECKMULTISIG> HASH160 «redeem scriptHash» EQUAL 


假如 赎 回 脚本 与 哈 希 匹配 ， 解 锁 脚 本 会 被 执行 以 释放 赎 回 脚本 € 


<Sigi> <Sig2> 2 PK1 PK2 PK3 PK4 PK5 5 CHECKMULTISIG 


本 章 中 描述 的 几乎 所 有 脚本 只 能 以 P2SH 脚 本 来 实现 。 它们 不 能 直接 用 在 UTXO 的 锁定 脚本 
中 o 


7.3.1 P2SH 地 址 


P2SH 的 另 一 重要 特征 是 它 能 将 脚本 哈 希 编译 为 一 个 地 址 (其 定义 请 见 BIP0013 /BIP-13) ° 
P2SH 地 址 是 基于 Base58 编 码 的 一 个 含有 20 个 字 节 哈 希 的 脚本 ， 就 像 比特 币 地 址 是 基于 
Base58 编 码 的 一 个 含有 20 个 字 节 的 公 钢 。 由 于 P2SH 地 址 采用 5 作为 前 级 ， 这 导致 基于 
Base58 编 码 的 地 址 以 3” 开头。 例如 ，Mohammed 的 脚本 ， 基 于 Base58 编 码 下 的 P2SH 地 址 交 
为 “39RF6JqABiHdYHkfChV6USGMe6Nsr66Gzw”。 


此 时 ，Mohammed 可 以 将 该 地 址 发 送 给 他 的 客户 ， 这 些 客户 可 以 采用 任何 的 比特 币 钱包 实现 
简单 支付 ， 就 像 这 RN reat iain es 客户 这 是 一 种 特殊 类 型 的 地 址 的 
音 示 ， 该 地 址 与 一 个 脚本 相对 应 而 非 与 一 个 公 钥 相对 应 ， 但 是 它 的 效果 与 比特 币 地 址 支付 别 
无 二 致 。 P2SH 地 址 隐藏 了 所 有 的 复杂 性 ， 因 此 ， 运 用 其 进行 支付 的 人 将 不 会 看 到 脚本 。 


7.3.2 P2SH 的 优点 
与 直接 使 用 复杂 脚本 以 锁定 输出 的 方式 相 比 ，P2SH 具 有 以 下 特点 : 


e 在 交易 输出 中 ， 复 杂 脚 本 由 简短 电子 指纹 取代 ， 使 得 交易 代码 变 短 。 


e 脚本 能 被 编译 为 地 址 ， 支 付 指令 的 发 出 者 和 支付 者 的 比特 币 钱包 不 需要 复杂 工序 就 可 以 
执行 P2SH 。 

e P2SH 将 构建 脚本 的 重担 转移 至 接收 方 ， 而 非 发 送 方 。 

e P2SH 将 长 脚本 数据 存储 的 负担 从 输出 方 (存储 于 UTXO 集 ， 影 响 内 存 ) 转移 至 输入 方 
(存储 在 区 块 链 里 面 ) © 

e P2SH 将 长 脚本 数据 存储 的 重担 从 当前 (支付 时 ) 转移 至 未 来 GERM) © 

e P2SH 将 长 脚本 的 交易 费 成 本 从 发 送 方 转移 至 接收 方 ， 接 收 方 在 使 用 该 笔 资金 时 必须 含有 
赎 回 脚本 。 


7.3.3 赎 回 脚 本 和 标准 确认 


在 0.9.2 版 比特 币 核心 客户 端 之 前 ，P2SH 仅 限于 标准 比特 币 交 易 脚 本 类 型 ( 即 通 过 标准 函数 检 
验 的 脚本 ) 。 这 也 意味 着 使 用 该 笔 资 金 的 交易 中 的 屿 回 脚 本 只 能 是 标准 化 的 P2PK、P2PKH 或 
者 多 重 签名 ， 而 非 RETURN 和 P2SH ° 


作为 0.9.2 版 的 比特 币 核心 客户 端 ，P2SH 交 易 能 包含 任意 有 效 的 脚本 ， 这 使 得 P2SH 标 准 更 为 
灵活 ， 也 可 以 用 于 多 种 新 的 或 复杂 类 型 的 交易 。 


请 记 住 不 能 将 P2SH 植 入 P2SH 赎 回 脚 本 ， 因 为 P2SH 不 能 自 循环 。 虽 然 在 技术 上 可 以 将 
RETURN 和 包含 在 屿 回 脚本 中 ， 但 由 于 规则 中 没有 策略 阻止 您 执行 此 操作 ， 因 此 在 验证 期 间 执 
行 RETURN 将 导致 交易 被 标记 为 无 效 ， 因 此 这 是 不 实际 的 。 


需要 注意 的 是 ， 因 为 赎 回 脚本 只 有 在 你 试图 发 送 一 个 P2SH 输 出 时 才 会 在 比特 币 网 络 中 出 现 ， 
假如 你 将 输出 与 一 个 无 效 的 交易 哈 希 锁定 ， 则 它 将 会 被 忽略 。 该 UTXO 将 会 被 成 功 锁定 ， 但 是 
你 将 不 能 使 用 该 笔 资 金 ， 因 为 交易 中 含有 赎 回 脚本 ， 该 脚本 因 是 一 个 无 效 的 脚本 而 不 能 被 接 
受 。 这 样 的 处 理 机 制 也 衍生 出 一 个 风险 ， 你 可 能 将 比特 币 锁定 在 一 个 未 来 不 能 被 花费 的 P2SH 
中 。 因 为 比特 币 网 络 本 身 会 接受 这 一 P2SH， 即 便 它 与 无 效 的 赎 回 脚本 所 对 应 (因为 该 赎 回 脚 
本 哈 希 没有 对 其 所 表征 的 脚本 给 出 指令 ) 。 


注释 P2SH 锁 定 脚本 包含 一 个 屿 回 脚本 哈 希 ， 该 脚本 对 于 赎 回 脚本 本 身 未 提供 任何 描述 。 
P2SH 交 易 即 便 在 赎 回 脚本 无 效 的 情况 下 也 会 被 认为 有 效 。 如 果 处 理 不 当 ， 有 可 能 会 出 现 一 个 
事故 ， 即 你 的 比特 币 可 能 会 被 锁 死 在 P2SH 这 个 交易 中 ， 导 致 你 以 后 再 也 不 能 花费 这 笔 比 特征 
Joo 


7.4 数据 记录 输出 (RETURN 操作 符 ) 


比特 币 的 去 中 心 特点 和 时 间 惟 账本 机 制 ， 即 区 块 链 技术 ， 其 潜在 运用 将 大 大 超越 支付 领域 。 
许多 开发 者 试图 充分 发 挥 交易 脚本 语言 的 安全 性 和 可 恢复 性 优势 ， 将 其 运用 于 电子 公证 服 

务 、 证 券 认证 和 智能 合约 等 领域 。 很 多 早期 的 开发 者 利用 比特 币 这 种 能 将 交易 数据 放 到 区 块 
链 上 的 技术 进行 了 很 多 尝试 ， 例 如 ， 为 文件 记录 电子 指纹 ， 则 任何 人 都 可 以 通过 该 机 制 在 特 
定 的 日 期 建立 关于 文档 存在 性 的 证 明 。 


运用 比特 币 的 区 块 链 技术 存储 与 比特 币 支付 不 相关 数据 的 做 法 是 一 个 有 争议 的 话题 。 许 多 开 
发 者 认为 其 有 滥用 的 嫌疑 ， 因 而 试图 予以 阻止 。 另 一 些 开 发 者 则 将 之 视 为 区 块 链 技术 强大 功 
能 的 有 力 证 明 ， 从 而 试图 给 予 大 力 支 持 。 那 些 反 对 非 支付 相关 应 用 的 开发 者 认为 这 样 做 将 引 
致 "区 块 链 膨胀 ”， 因 为 所 有 的 区 块 链 节点 都 将 以 消耗 磁盘 存储 空间 为 成 本 ， 负 担 存储 此 类 数 
据 的 任务 


更 为 严重 的 是 ， 此 类 交易 仅 将 比特 币 地 址 当 作 自由 组 合 的 20 个 字 节 而 使 用 ， 进 而 会 产生 不 能 
用 于 交易 的 UTXO。 因 为 比特 币 地 址 只 是 被 当 作 数据 使 用 ， 并 不 与 私 钥 相 匹配 ， 所 以 会 导致 
UTXO 不 能 被 用 于 交易 ， 因 而 是 一 种 伪 支 付 行为 。 因 此 ， 这 些 交 易 永 远 不 会 被 花费 ， 所 以 永远 
不 会 从 UTXO 集 中 删除 ， 并 导致 UTXO 数 据 库 的 大 小 永远 增加 或 “膨胀 ”。 


在 0.9 版 的 比特 币 核心 客户 端 上 ， 通 过 采用 Return 操 作 符 最 终 实现 了 妥协 。Return 人 允许 开发 者 
在 交易 输出 上 增加 80 字 节 的 非 交 易 数 据 。 然 后 ， 与 伪 交 易 型 的 UTXO 不 同 ，Return 创 造 了 一 种 
明确 的 可 复查 的 非 交 易 型 输出 ， 此 类 数据 无 需 存 储 于 UTXO 集 。Return 输 出 被 记录 在 区 块 链 
上 ， 它 们 会 消耗 磁盘 空间 ， 也 会 导致 区 块 链 规模 的 增加 ， 但 它们 不 存储 在 UTXO 集 中 ， 因 此 
也 不 会 使 得 UTXO 内 存 膨胀 ， 更 不 会 以 消耗 代价 高 兄 的 内 存 为 代价 使 全 节点 都 不 堪 重 负 。 
RETURN 脚本 的 样式 : 


RETURN «data» 


“data" 部 分 被 限制 为 80 字 节 ， 且 多 以 哈 希 方式 呈现 ， 如 32 字 节 的 SHA256 算 法 输出 。 许 多 应 用 
enisi cuoc date o 例如， 电子 公正 服务 的 证 明 材料 采用 8 个 字 节 的 前 
级"“DOCPROOF”， 在 十 六 进 制 算法 中 ， 相 应 的 ASCIl 码 为 44 4f 43 50 52 4f 4f 46 ° 


请 记 住 RETURN 不 涉及 可 用 于 支付 的 解锁 脚本 的 特点 ，RETURN 不 能 使 用 其 输出 中 所 锁定 
的 资金 ， 因 此 它 也 就 没有 必要 记录 在 列 含 潜在 成 本 的 UTXO 集 中 ， 所 以 RETURN 实际 是 没有 
成 本 的 。 


RETURN 常 为 一 个 金额 为 0 的 比特 币 输出 ， 因 为 任何 与 该 输出 相对 应 的 比特 币 都 会 永久 消 

失 。 假 如 一 笔 RETURN 被 作为 一 笔 交 易 的 输入 ， 脚 本 验证 引擎 将 会 阻止 验证 脚本 的 执行 ， 将 
标记 交易 为 无 效 。 如 果 你 碰巧 将 RETURN 的 输出 作为 另 一 笔 交 易 的 输入 ， 则 该 交易 是 无 效 
的 。 


一 笔 标准 交易 (通过 了 isStandard() 函数 检验 的 ) 只 能 有 一 个 RETURN 输出 “但 是 单个 


RETURN 输出 能 与 任意 类 型 的 输出 交 行 组 会 。 


易 进 
Bitcoin Core 中 添加 了 两 个 新 版 本 的 命令 行 选项 。 选 项 datacarrier 控 制 RETURN 交 易 的 中 继 和 
空气， 默认 设置 为 “1 以 允许 它们 。 选项 datacarriersize 采 用 一 个 数字 参数 ， 指 定 RETURN 脚 
本 的 最 大 大 小 (以 字 节 为 单位 ) ， 默 认为 83 字 节 ， 人 允许 最 多 80 个 字 节 的 RETURN 数 据 加 上 一 
个 字 节 的 RETURN 操 作 码 和 两 个 字 节 的 PUSHDATA 操 作 码 。 


注释 最 初 提出 了 RETURN， 限 制 为 80 字 节 ， 但 是 当 功 能 被 释放 时 ， 限 制 被 减少 到 40 字 节 。 
2015 年 2 月 ， 在 Bitcoin Core 的 0.10 版 本 中 ， 限 制 提高 到 80 字 节 。 节点 可 以 选择 不 中 继 或 重新 
启动 RETURN ， 或 者 只 能 中 继 和 挖 振 包 含 少 于 80 字 节 数 据 的 RETURN。 


7.5 时 间 锁 (Timelocks) 


时 间 锁 是 只 允许 在 一 段 时 间 后 才 允 许 支出 的 交易 。 比 特 币 从 一 开始 就 有 一 个 交易 级 的 时 间 锁 
定 功能 。 它 由 交易 中 的 nLocktime 字 段 实 现 。 在 2015 年 底 和 2016 年 中 期 推出 了 两 个 新 的 时 间 
锁定 功能 ， 提 供 UTXO 级 别 的 时 间 锁 定 功能 。 这 些 是 CHECKLOCKTIMEVERIFY 和 
CHECKSEQUENCEVERIFY 。 


时 间 锁 对 于 后 期 交易 和 将 资金 锁定 到 将 来 的 日 期 很 有 用 。 更 重要 的 是 ， 时 间 锁 将 比特 币 脚本 
扩展 到 时 间 的 维度 ， 为 复杂 的 多 级 智能 合同 打开 了 大 门 。 


7.5.1 交 易 锁 定时 间 (nLocktime ) 


比特 币 从 一 开始 就 有 一 个 交易 级 的 时 间 锁 功能 。 交 易 锁定 时 间 是 交易 级 设置 (交易 数据 结构 
中 的 一 个 字段 ) ， 它 定义 交易 有 效 的 最 早 时 间 ， 并 且 可 以 在 网 络 上 中 继 或 添加 到 区 块 链 中 。 
锁定 时 间 也 称 为 nLocktime， 是 来 自 于 Bitcoin Core 代 码 库 中 使 用 的 变量 名 称 。 在 大 多 数 交 易 


中 将 其 设置 为 零 ， 以 指示 即时 传播 和 执行 。 如 果 nLocktime 不 为 零 ， 低 于 5 亿 ， 则 将 其 解释 为 
块 高 度 ， 这 意味 着 交易 无 效 ， 并 且 在 指定 的 块 高 度 之 前 未 被 中 继 或 包含 在 块 链 中 。 


如 果 超 过 5 亿 ， 它 被 解释 为 Unix 纪 元 时 间 戳 ( 自 Jan-1-1970 之 后 的 秒 数 ) ， 并 且 交 易 在 指定 时 
间 之 前 无 效 。 指 定 未 来 块 或 时 间 的 nLocktime 的 交易 必须 由 始 发 系统 持 有 ， 并 且 只 有 在 有 效 后 
才 被 发 送 到 比特 币 网 络 。 如 果 交 易 在 指定 的 nLocktime 之 前 传输 到 网 络 ， 那 么 第 一 个 节点 就 会 
拒绝 该 交易 ， 并 且 不 会 被 中 继 到 其 他 节点 。 使 用 nLocktime 等 同 于 一 张 延期 支票 。 


7.5.1.1 交 易 锁 定时 间 限 制 
nLocktime 就 是 一 个 限制 ， 虽 然 它 可 以 在 将 来 花费 ， 但 是 到 现在 为 止 ， 它 并 不 能 使 用 它们 。 我 
们 来 解释 一 下 ， 下 面 的 例子 。 


Alice 签 署 了 一 笔 交 易 ， 支 付 给 Bob 的 地 址 ， 并 将 交易 nLocktime 设 定 为 3 个 月 。Alice 把 这 笔 交 
易 发 送 给 Bob。 有 了 这 个 交易 ，Alice 和 Bob 知 道 : 


。 在 3 个 月 过 去 之 前 ，Bob 不 能 完成 交易 进行 变现 。 
© Bob 可 以 在 3 个 月 后 接受 交易 。 


然而 : 


e Alice 可 以 创建 另 一 个 交易 ， 双 重 花 费 相同 的 输入 ， 而 不 需要 锁定 时 间 。 因此 ，Alice 可 以 
在 3 个 月 过 去 之 前 花费 相同 的 UTXO 。 


e Bob 不 能 保证 Alice 不 会 这 样 做 。 


了 解 交易 nLocktime 的 限制 很 重要 。 唯一 的 保证 是 Bob 在 3 个 月 过 去 之 前 无 法 芝 换 它 。 不 能 保 
证 Bob 得 到 资金 。 为 了 实现 这 样 的 保证 ， 时 间 限 制 必 须 放 在 UTXO 本 身上 ， 并 成 为 锁定 脚本 的 


一 部 分 ， 而 不 是 交易 。 


这 是 通过 下 一 种 形式 的 时 间 锁 定 来 实现 的 ， 称 为 检查 锁定 时 间 验 证 (CLTV)。 


7.5.2 检 查 锁定 时 间 验 证 Check Lock Time Verify (CLTV) 


2015 年 12 月 ， 引 入 了 一 种 新 形式 的 时 间 锁 进行 比特 币 软 分 又 升级 。 根 据 BIP-65 中 的 规范 ， 脚 
本 语言 添加 了 一 个 名 为 CHECKLOCKTIMEVERIFY (CLTV) 的 新 脚本 操作 符 。 CLTV 是 每 个 
输出 的 时 间 锁 定 ， 而 不 是 每 个 交易 的 时 间 锁 定 ， 与 nLocktime 的 情况 一 样 。 这 允许 在 应 用 时 间 
锁 的 方式 上 具有 更 大 的 灵活 性 。 简单 来 说 ， 通 过 在 输出 的 赎 回 脚本 中 添加 CLTV 操 作 码 来 限制 
输出 ， 从 而 只 能 在 指定 的 时 间 过 后 使 用 。 


注释 当 nLocktime 是 交易 级 时 间 锁 定时 ，CLTV 是 基于 输出 的 时 间 锁 。 


CLTV 不 会 取代 nLocktime， 而 是 限制 特定 的 UTXO， 并 通过 将 nLocktim 设 置 为 更 大 或 相等 的 
值 ， 从 而 达到 在 未 来 才能 花费 这 笔 钱 的 目的 。 


CLTV 操 作 码 采用 一 个 参数 作为 输入 ， 表 示 为 与 nLocktime ( 块 高 度 或 Unix 纪 元 时 间 ) 相同 格 
式 的 数字 。 如 VERIFY 后 级 所 示 ，CLTV 如 果 结 果 为 FALSE， 则 停止 执行 脚本 的 操作 码 类 型 。 
如 果 结 果 为 TRUE， 则 继续 执行 。 


为 了 使 用 CLTV 锁 定 输 出 ， 将 其 插入 到 创建 输出 的 交易 中 的 输出 的 赎 回 脚本 中 。 人 例如， 如果 
Alice 支 付 Bob 的 地 址 ， 输 出 通常 会 包含 一 个 这 样 的 P2PKH 脚 本 : 


DUP HASH160 «Bob's Public Key Hash» EQUALVERIFY CHECKSIG 


要 锁定 一 段 时 间 ， 比 如 说 3 个 月 以 后 ， 交 多 将 是 一 个 P2SH 交 易 ， 其 中 包含 一 个 赎 回 脚本 : 


«now + 3 months» CHECKLOCKTIMEVERIFY DROP DUP HASH160 «Bob's Public Key Hash» EQUALVER 
IFY CHECKSIG 


其 中 是 从 交易 开始 被 控 矿 时 间 起 计 3 个 月 的 块 高 度 或 时 间 值 : 当前 块 高 度 +12,960 Gk) 或 当 
前 Unix 纪 元 时 间 +7,760,000 ( 秒 ) 。 现 在 ， 不 要 担心 CHECKLOCKTIMEVERIFY 之 后 的 
DROP 操 作 码 ,下 面 很 快 就 会 解释 。 


当 Bob 党 试 花费 这 个 UTXO 时 ， 他 构建 了 一 个 引用 UTXO 作 为 输入 的 交易 。 他 使 用 他 的 签名 和 
公 角 在 该 输入 的 解锁 脚本 ， 并 将 交易 nLocktime 设 置 为 等 于 或 更 大 于 Alice 设 置 的 
CHECKLOCKTIMEVERIFY 时 间 锁 。 然 后 ，Bob 在 比特 币 网 络 上 广播 交易 。 


Bob 的 交易 评估 如 下 。 如 果 Alice 设 置 的 CHECKLOCKTIMEVERIFY 参 数 小 于 或 等 于 支出 交易 
的 nLocktime， 脚 本 执行 将 继续 (就 好 像 执 行 “ 无 操作 ”或 NOP 操 作 码 一 样 ) o GSM > AAT 
停止 ， 并 且 该 交易 被 视 为 无 效 。 更 确切 地 说 ，CHECKLOCKTIMEVERIFY 失 败 并 停止 执行 ， 
标记 交易 无 效 (来 源 : BIP-65) 


堆栈 是 空 的 要 人 么 

堆栈 中 的 顶部 项 小 于 0; 要 么 

顶层 堆栈 项 和 nLocktime 字 段 的 锁定 时 间 类 型 (高 度 或 者 时 间 惟 ) 不 相同 ;要 人 么 
顶层 堆栈 项 大 于 交易 的 nLocktime 字 上 段 ;要 么 

输入 的 nSequence 字 段 为 0xffffffff 。 


ak WN > 


注释 CLTV 和 nLocktime 使 用 相同 的 格式 来 描述 时 间 锁 定 ， 无 论 是 块 高 度 还 是 自 Unix 纪 元 以 秒 
钟 以 来 所 经 过 的 时 间 。 最 重要 的 是 ， 在 一 起 使 用 时 ，nLocktime 的 格式 必须 与 输入 中 的 CLTV 
格式 相 匹 配 ， 它 们 必须 以 秒 为 单位 引用 块 高 度 或 时 间 。 


执行 后 ， 如 果 满 足 CLTV， 则 其 之 前 的 时 间 参 数 仍 然 作 为 堆栈 中 的 顶级 项 ， 并 且 可 能 需要 使 用 
DROP 进 行 删除 ， 才 能 正确 执行 后 续 脚 本 操作 码 。 为 此 ， 您 将 经 常 在 脚本 中 看 到 
CHECKLOCKTIMEVERIFY 十 DROP 在 一 起 使 用 。 


通过 将 nLocktime 与 CLTV 结 合 使 用 ， 交 易 锁定 时 间 限 制 中 描述 的 情况 发 生变 化 。 因为 Alice 锁 
定 了 UTXO 本 身 ， 所 以 现在 Bob 或 Alice 在 3 个 月 的 锁定 时 间 到 期 之 前 不 可 能 花费 它 。 


通过 将 时 间 锁 定 功 能 直接 引入 到 脚本 语言 中 ，CLTV 人 允许 我 们 开发 一 些 非常 有 趣 的 复杂 脚本 。 
该 标准 在 BIP-65 (CHECKLOCKTIMEVERIFY) 中 定义 (附录 部 分 ) ° 


7.5.3 相 对 时 间 锁 


nLocktime 和 CLTV 都 是 绝对 时 间 锁 定 ， 它 们 指定 绝对 时 间 点 。 接 下 来 的 两 个 时 间 锁 定 功能 ， 
我 们 将 要 考察 的 是 相对 时 间 锁 定 ， 因 为 它们 将 消耗 输出 的 条 件 指定 为 从 块 链接 中 的 输出 确认 
起 的 经 过 时 间 。 


相对 时 间 锁 是 有 用 的 ， 因 为 它们 允许 将 两 个 或 多 个 相互 依赖 的 交易 链接 在 一 起 ， 同 时 对 依赖 
于 从 先前 交易 的 确认 所 经 过 的 时 间 的 一 个 交易 施加 时 间 约 束 。 换 和 句 话说 ， 在 UTXO 被 记录 在 块 
状 块 之 前 ， 时 钟 不 开始 计数 。 这 个 功能 在 双向 状态 通道 和 闪电 网 络 中 特别 有 用 ， 我 们 将 在 后 
面 章 节 [state_channels] 中 看 到 。 

相对 时 间 锁 ， 如 绝对 时 间 锁 定 ， 同 时 具有 交易 级 功能 和 脚本 级 操作 码 。 交 易 级 相对 时 间 锁 定 
是 作为 对 每 个 交易 输入 中 设置 的 交易 字段 nSequence 的 值 的 共识 规则 实现 的 。 脚 本 级 相对 时 
la] Zit zz 4& FI CHECKSEQUENCEVERIFY (CSV) 操作 码 实现 。 

相对 时 间 锁 是 根据 BIP-68 与 BIP 一 112 的 规范 共同 实现 的 ， 其 中 BIP-68 通 过 与 相对 时 间 锁 运用 
一 致 性 增强 的 数字 序列 实现 ，BIP-112 中 是 运用 到 了 CHECKSEQUENCEVERIFY 这 个 操作 码 
实现 。 


BIP-68 和 BIP-112 是 在 2016 年 5 月 作为 软 分 又 升级 时 被 激活 的 一 个 共识 规则 。 
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相对 时 间 锁 定 可 以 在 每 个 输入 中 设置 好 ， 其 方法 是 在 每 个 输入 中 加 多 一 个 nSequence 字 段 。 


7.5.4.1 nSequence 的 本 义 


nnSequence 字 段 的 设计 初 心 是 想 让 交易 能 在 在 内 存 中 修改 ， 可 惜 后 面 从 未 运用 过 ， 使 用 
nSequence 这 个 字段 时 ， 如 果 输 入 的 交易 的 序列 值 小 于 2^32 (OxFFFFFFFF) ， 就 表示 尚 
未 “确定 ”的 交易 A 


这 样 的 交易 将 在 内 存 池 中 保存 ， 直 到 被 另 一 个 交易 消耗 相同 输入 并 具有 较 大 nSequence 值 的 

代替 。 一 旦 收 到 一 个 交易 ， 其 投入 的 nSequence 值 为 2\32， 那 么 它 将 被 视 为 “最 终 确定 ?并 开 

采 。nSequence 的 原始 含义 从 未 被 正确 实现 ， 并 且 在 不 利用 时 间 锁 定 的 交易 中 nSequence 的 
值 通常 设置 为 2*32。 对 于 具有 nLocktime A CHEOKEOGKTIMEVERIEY SS » nSequence 

MSs AGL EL F 2032 > vAAK RLBUE 88 3X o 18 3638 222^32 - 1 (OxFFFFFFFE) 。 


7.5.4.2 nSequence 作 为 一 个 共同 执行 的 相对 时 间 锁 定 


由 于 BIP-68 的 激活 ， 新 的 共识 规则 适用 于 任何 包 digi esie 小 于 2^31 的 输入 的 交易 (bit 
1<<31 is not set) 。 以 编程 方式 ， 这 意味 着 如 果 没 有 设置 最 效 (bit 1<<31) ， 它 是 一 个 
表示 “相对 锁定 时 间 ” 的 标志 。 否 则 (bit 1<<31set) > et d RUN 用 于 其 他 用 途 ， 例 
如 启用 CHECKLOCKTIMEVERIFY ，nLocktime，Opt-In-Replace-By-Fee 以 及 其 他 未 来 的 新 
产品 。 


一 笔 输入 交易 ， 当 输入 脚本 中 的 nSequence 值 小 于 2^31 时 ， 就 是 相对 时 间 锁 定 的 输入 交易 。 

这 种 交易 只 有 到 了 相对 锁定 时 间 后 才 生 效 。 例 如 ， 具 有 30 个 区 块 的 nSequence 相 对 时 间 锁 的 
一 个 输入 的 交易 只 有 在 从 输入 中 引用 的 UTXO 开 始 的 时 间 起 至 少 有 30 个 块 时 才 有 效 。 由 于 
nSequence 是 每 个 输入 字段 ， 因 此 交易 可 能 包含 任何 数量 的 时 间 锁 定 输 入 ， 所 有 这 些 都 必须 
具有 足够 的 时 间 以 使 交易 有 效 。 


交易 可 以 包括 时 间 锁 定 输入 (nSequence «2^31) 和 没有 相对 时 间 锁 定 (nsequence» = 
2431) 的 输入 。 nSequence 值 以 块 或 秒 为 单位 指定 ， e 的 格式 略 有 不 

同 。 类 型 标志 用 于 区 分 计数 块 和 计数 时 间 (以 秒 为 单位 ) 的 值 。 类 型 标志 设置 在 第 23 个 最 低 
有 效 位 〈《 即 值 1 << 22) 。 如 果 设 置 了 类 型 标志 ， Nr ART 5124 85 42 žk © 
如 果 未 设置 类 型 标志 ， 则 nSequence 值 被 解释 为 块 数 。 


当 将 nSequence 解 释 为 相对 时 间 锁 定时 ， 只 考虑 16 个 最 低 有 效 位 。 一 旦 评估 了 标志 (位 32 和 
23) ， nSequence 值 通 党 J ( 例 4anSequence&0x0000F FFF ) “Ho FA LA 
由 BIP-68 定 义 的 nSequence 值 的 二 进 制 布局 。 


31 22 15 0 
Disable Flag Type Flag Value 


Figure 1. BIP-68 definition of nSequence encoding (Source: BIP-68) 


基于 nSequence 值 的 一 致 执行 的 相对 时 间 锁 定 在 BIP-68 中 。 标 准 定 义 在 BIP-68, Relative lock- 
time using consensus-enforced sequence numbers. 


7.5.5 带 CSV 的 相对 时 间 锁 


就 像 CLTV 和 nLocktime 一 样 ， 有 一 个 脚本 操作 码 用 于 相对 时 间 锁 定 ， 它 利用 脚本 中 的 
nSequence 值 。 该 操作 码 是 CHECKSEQUENCEVERIFY， 通 常 简称 为 CSV。 在 UTXO 的 赎 回 
脚本 中 评估 时 ，CSV 操 作 码 仅 允许 在 输入 nSequence 值 大 于 或 等 于 CSV 参 数 的 交易 中 进行 消 
耗 。 实 质 上 ， 这 限制 了 UTXO 的 消耗 ， 直 到 UTXO 开 采 时 间 过 了 一 定数 量 的 块 或 秒 。 


与 CLTV 一 样 ，CSV 中 的 值 必须 与 相应 nSequence 值 中 的 格式 相 匹 配 。 如 果 CSV 是 根据 块 指定 
的 ， 那 么 nSequence 也 是 如 此 。 如 果 以 秒 为 单位 指定 CSV， 那 么 nSequence 也 是 如 此 。 


当 几 个 (已 经 形成 链 ) 交易 被 保留 为 “ 脱 链 " 时 ， 创 建 和 签名 这 几 个 (已 经 形成 链 ) 交易 但 不 传 
播 时 ，CSV 的 相对 时 间 锁 特别 有 用 。 在 父 交易 已 被 传播 ， 直 到 消耗 完 相 对 锁定 时 间 ， 才 能 使 
用 子 交 易 。 这 个 用 例 的 一 个 应 用 可 以 在 state_channels 和 lightning_network/ 请 加 上 链接 章节 
中 看 到 。 CSV 细节 参见 BIP-112, CHECKSEQUENCEVERIFY. 


7.5.6 中 位 时 间 过 去 Median-Time-Past 


作为 激活 相对 时 间 锁 定 的 一 部 分 ， 时 间 锁 定 〈 绝 对 和 相对 ) 的 “时 间 " 方 式 也 发 生 了 变化 。 在 比 
特 币 中 ， 墙 上 时 间 (wall time) 和 共识 时 间 之 间 存 在 微妙 但 非常 显著 的 差异 。 比 特 币 是 一 个 分 
散 的 网 络 ， 这 意味 着 每 个 参与 者 都 有 自己 的 时 间 观 。 网 络 上 的 事件 不 会 随时 随地 发 生 。 网 络 
延迟 必须 考虑 到 每 个 节点 的 角度 。 最 终 ， 所 有 内 容 都 被 同步 ， 以 创建 一 个 共同 的 分 类 帐 。 比 
特 币 在 过 去 存在 的 分 类 账 状态 中 每 10 分 钟 达成 一 个 新 的 共识 。 


区 块头 中 设置 的 时 间 改 由 矿工 设 定 。 共 识 规则 多 许 一 定 的 误差 来 解决 分 散 节点 之 间 时 钟 精度 
的 问题 。 然 而 ， 这 诱惑 了 矿工 去 说 谨 ， 以 便 通 过 包括 还 不 在 范围 内 的 时 间 交 易 来 赚 取 额外 矿 
工 费 。 有 关 详 细 信 息 ， 请 参阅 以 下 部 分 。 


为 了 杜绝 矿工 说 说 ， 加 强 时 间 安 全 性 ， 在 相对 时 间 锁 的 基础 上 又 新 增 了 一 个 BIP。 这 是 BIP- 
113， 它 定义 了 一 个 称 为 “中 位 时 间 过 去 / (Median-Time-Past) ”的 新 的 共识 测量 机 制 。 通 过 
取 最 后 11 个 块 的 时 间 惟 并 计算 其 中 位 数 作 为 “中 位 时 间 过 去 "的 值 。 这 个 中 间 时 间 值 就 变 成 了 共 
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减 小 了 。 通 过 这 个 方法 ， 没 有 一 个 矿工 可 以 利用 时 间 改 从 具有 尚未 成 熟 的 时 间 段 的 交易 中 获 
取 非 法 矿工 费 。 


Median-Time-Past 更 改 了 nLocktime，CLTV，nSequence 和 CSV 的 时 间 计 算 的 实现 。 由 
Median-Time-Past 计 算 的 共识 时 间 总 是 大 约 在 挂钟 时 间 后 一 个 小 时 。 如 果 创 建 时 间 锁 交易 ， 

么 要 在 nLocktime ，nSequence，CLTV 和 CSV 中 进行 编码 的 估计 所 需 值 时 ， 应 该 考虑 它 。 
Median-Time-Past 细 节 参 见 BIP-113. 


7.5.7 针 对 费用 狙击 (Fee Sniping) 958 IR ai 


费用 狙击 是 一 种 理论 攻击 情形 ， 矿 工 试图 从 将 来 的 块 ( 挑 选手 续费 较 高 的 交易 ) 重 写 过 去 的 
Ho 实现“ 狙击 "更 高 费用 的 交易 ， 以 最 大 限度 地 提高 盈利 能 力 。 


例如 ， 假 设 存在 的 最 高 块 是 块 间 100,000。 如 果 不 是 试图 把 ##100,001 号 的 矿区 扩大 到 区 块 
链 ， 那 么 一 些 矿工 们 会 试图 重新 挖 矿 并 100,000。 这 些 矿工 可 以 选择 在 候选 块 并 100,000 中 包 
括 任何 有 效 的 交易 (尚未 开采 ) 。 他 们 不 必 使 用 相同 的 交易 来 恢复 块 。 事 实 上 ， 他 们 有 动力 
选择 最 有 利 可 图 (最 高 每 kBB) 的 交易 来 包含 在 其 中 。 它 们 可 以 包括 处 于 “ 昌 " 块 六 100,000 中 
的 任何 交易 ， 以 及 来 自 当 前 内 存 池 的 任何 交易 。 当 他 们 重新 创建 块 并 100,000 时 ， 他 们 本 质 上 
可 以 将 交易 从 “现在 "提取 到 重 写 的 “过 去 "中 。 


今天 ， 这 种 袭击 并 不 是 非常 有 利 可 图 ， Pon ods 一 定数 量 的 比特 币 奖励 ) 远 
远 高 于 每 个 区 块 的 总 费用 。 但 在 未 来 的 某 个 时 候 ， 交 易 费 将 是 奖励 的 大 部 分 (甚至 是 奖励 的 
整体 ) 。 那 时 候 这 种 情况 变 得 不 可 避免 了 。 


为 了 防止 “费用 狙击 "”， 当 Bitcoin Core /钱包 创建 交易 时 ， 默 认 情 况 下 ， 它 使 用 nLocktime 将 它 
们 限制 为 “下 一 个 块 "。 在 我 们 的 环境 中 ，Bitcoin Core /钱包 将 在 任何 创建 的 交易 上 将 
Weckime 100,001。 在 正常 情况 下 ， 这 个 nLocktime 没 有 任何 效果 - 352) A fi 6,72: 4€ dE 
100,001 块 中 ， 这 是 下 一 个 区 块 。 但 是 在 区 块 链 分 又 攻击 的 情况 下 ， 由 于 所 有 这 些 交易 都 将 被 
时 间 锁 阻止 在 a 100,001， 所 以 矿工 们 无 法 从 筹码 中 提取 高 额 交 易 。 他 们 只 能 在 当时 有 效 的 任 
何 交易 中 重新 挖 矿 #100,000， 这 导致 实质 上 不 会 获得 新 的 费用 。 为 了 实现 这 一 点 ，Bitcoin 
Core/ 钱 包 将 所 有 新 交易 的 nLocktime 设 置 为 ， 并 将 所 有 输入 上 的 nSequence 设 置 为 
0xFFFFFFFE 以 启用 nLocktime ° 


具有 流量 控制 的 脚本 (RFI (Conditional 
Clauses)) 
比特 币 脚 本 的 一 个 更 强大 的 功能 是 流量 控制 ， 也 称 为 条 件 条 款 。 您 可 能 熟悉 使 用 构造 IF ... 


THEN ... ELSE 的 各 种 编程 语言 中 的 流 控 制 。 比 特 币 条 件 条 款 看 起 来 有 点 不 同 ， 但 是 基本 上 是 
相同 的 结构 。 


在 基本 层面 上 ， 比 特 币 条 件 操作 码 允 许 我 们 构建 一 个 具有 两 种 解锁 方式 的 赎 回 脚本 ， 这 取决 
于 评估 逻辑 条 件 的 TRUE / FALSE 结 果 。 例 如 ， 如 果 x 为 TRUE， 则 赎 回 脚本 为 A，ELSE 赎 回 
脚本 为 B. 此 外 ， 比 特 币 条 件 表 达 式 可 以 无 限期 地 " 谋 套 ”， 这 意味 着 这 个 条 件 语句 可 以 包含 其 中 
的 另外 一 个 条 件 ， 另 外 一 个 条 件 其 中 包含 别 的 条 件 等 等 。Bitcoin 脚 本 流 控 制 可 用 于 构造 非常 
复杂 的 脚本 ， 具 有 数 百 其 至 数 千 个 可 能 的 执行 路 径 。 嵌 套 没有 限制 ， 但 协商 一 致 的 规则 对 脚 
本 的 最 大 大 小 (以 字 节 为 单位 ) 施加 限制 。 


比特 币 使 用 |F，ELSE，ENDIF 和 NOTIF 操 作 码 实现 流量 控制 。 此 外 ， 条 件 表达 式 可 以 包含 布 
尔 运算 符 ， 如 BOOLAND ，BOOLOR 和 NOT ° 


年 看 之 下 ， 您 可 能 会 发 现 比 特 币 的 流量 控制 脚本 令 人 困惑 。 那 是 因为 比特 币 脚本 是 一 种 堆栈 
语言 。 同 样 的 方式 ， 当 1+1 看 起 来 "向 后 * 当 表示 为 11ADD 时 ， 比 特 币 中 的 流 控制 条 款 也 看 起 
来 “向 后 ”(backward) 。 在 大 多 数 传统 〈 程 序 ) 编程 语言 中 ， 流 控制 如 下 所 示 : 大 多 数 编程 
语言 中 的 流 控制 伪 代 码 


if (condition): 

code to run when condition is true 
else: 

code to run when condition is false 
code to run in either case 


在 基于 堆栈 的 语言 中 ， 比 如 比特 币 脚本 ， 逻 辑 条 件 出 现在 IF 之 前 ， 这 使 得 它 看 起 来 像 "向 后 ”， 
如 下 所 示 : Bitcoin 脚 本 流 控制 
condition 
IF 
code to run when condition is true 
ELSE 
code to run when condition is false 


ENDIF 
code to run in either case 


阅读 Bitcoin 脚 本 时 ， 请 记 住 ， 评 估 的 条 件 是 在 IF 操作 码 之 前 。 
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比特 币 脚 本 中 的 另 一 种 条 件 是 任何 以 VERIFY 结 尾 的 操作 码 。VERIFY 后 级 表示 如 果 评 估 的 条 
件 不 为 TRUE， 脚 本 的 执行 将 立即 终止 ， 并 且 该 交易 被 视 为 无 效 。 与 提供 替代 执行 路 径 的 IF 子 
名 不 同 ，VERIFY 后 缀 充当 保护 子 句 ， 只 有 在 满足 前 提 条 件 的 情况 下 才 会 继续 。 


例如 ， 以 下 脚本 需要 Bob 的 签名 和 产生 特定 哈 希 的 前 图 像 (秘密 地 ) 。 
解锁 时 必须 满足 这 两 个 条 件 : 


1) 具 有 EQUALVERIFY 保 护 子 句 的 赎 回 脚本 。 


HASH160 «expected hash» EQUALVERIFY «Bob's Pubkey» CHECKSIG 


为 了 兑现 这 一 点 ，Bob 必 须 构 建 一 个 解锁 脚本 ， 提 供 有 效 的 前 图 像 和 签名 : 


2) 一 个 解锁 脚本 以 满足 上 述 赎 回 脚本 。 


«Bob's Sig» «hash pre-image> 


没有 前 图 像 ，Bob 无 法 访问 检查 其 签名 的 脚本 部 分 。 
该 脚本 可 以 用 IF 编写 : 具有 IF 保护 条 款 的 兑换 脚本 
HASH160 «expected hash» EQUAL 
IF 


«Bob's Pubkey» CHECKSIG 
ENDIF 


Bob 的 解锁 脚本 是 一 样 的 : 解锁 脚本 以 满足 上 述 兑 换 脚 本 


«Bob's Sig» «hash pre-image> 
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的 构造 更 有 效率 ， 使 用 较 少 的 操作 码 。 


那么 ， 我 们 什么 时 候 使 用 VERIFY， 什 么 时 候 使 用 |F ? 如 果 我 们 想 要 做 的 是 附加 一 个 前 提 条 件 
(保护 条 款 ) ， 那 么 验证 是 更 好 的 。 然而 ， 如 果 我 们 想 要 有 多 个 执行 路 径 ( 流 控制 ) > ABA 
我 们 需要 一 个 IF ... ELSEVIER ST A ° 


提示 诸如 EQUAL 之 类 的 操作 码 会 将 结果 (TRUE / FALSE) 推送 到 堆栈 上 ， 留 下 它 用 于 后 续 
操作 码 的 评估 。 相 比 之 下 ， 操 作 码 EQUALVERIFY 后 级 不 会 在 堆栈 上 留 下 任何 东西 。 在 
VERIFY 中 结束 的 操作 码 不 会 将 结果 留 在 堆栈 上 。 


7.6.2 在 脚本 中 使 用 流 控 制 


比特 币 脚本 中 流量 控制 的 一 个 非常 常见 的 用 途 是 构建 一 个 提供 多 个 执行 路 径 的 赎 回 脚本 ， 每 
个 脚本 都 有 一 种 不 同 的 赎 回 UTXO 的 方式 。 


我 们 来 看 一 个 简单 的 例子 ， 我 们 有 两 个 签名 人 ，Alice 和 Bob， 两 人 中 任何 一 个 都 可 以 兑换 。 
使 用 多 重 签名 ， 这 将 被 表示 为 1-of-2 多 重 签名 脚本 。 为 了 示范 ， 我 们 将 使 用 IF 子 名 做 同样 的 
事情 : 


IF 

«Alice's Pubkey» CHECKSIG 
ELSE 

«Bob's Pubkey» CHECKSIG 
ENDIF 


看 这 个 屿 回 脚本 ， 你 可 能 会 想 : “条件 在 哪里 ? "|F 子 名 之 前 没有 什么 !“ 条件 不 是 屿 回 脚 本 的 


相反 ， 该 解锁 脚本 将 提供 该 条 件 ， 允 许 Alice 和 Bob" 选 择 ” 他 们 想 要 的 执行 路 径 。 


Alice 用 解锁 脚本 兑换 了 这 个 : 


«Alice's Sig» 1 


最 后 的 1 作为 条 件 (TRUE) ， 将 使 IF 子 句 执 行 Alice 具 有 签名 的 第 一 个 沈 换 路 径 。 


为 了 兑换 这 个 Bob， 他 必须 通过 给 IF 子 幼 赋 一 个 FALSE 值 来 选择 第 二 个 执行 路 径 : 


«Bob's Sig» 0 


Bob) AR Ait Bp A HERP AL — ^0 0. EIE 54413 —4- (ELSE) 脚本 ， 这 需要 Bob 的 签 
名 。 


由 于 可 以 崇 套 IF 子 句 ， 所 以 我 们 可 以 创建 一 个 "迷宫 "的 执行 路 径 。 解锁 脚本 可 以 提供 一 个 选择 
执行 路 径 实际 执行 的 “地 图 ”: 


IF 
script A 
ELSE 
IF 
script B 
ELSE 
script C 
ENDIF 
ENDIF 


在 这 种 情况 下 ， 有 三 个 执行 路 径 (脚本 A， 脚 本 B 和 脚本 C) 。 解锁 脚本 以 TRUE 或 FALSE 值 
的 形式 提供 路 径 。 


要 选择 路 径 脚 本 B， 例 如 ， 解 锁 脚 本 必须 以 10 (TRUE > FALSE) 结束 。 


这 些 值 将 被 推送 到 堆栈 ， 以 便 第 二 个 值 (FALSE) 结束 于 堆栈 的 顶部 。 外 部 IF 子 句 弹 出 
FALSE4& #¢ 4447 3$ — ELSE 4) » 然后 ，TRUE 值 移动 到 堆栈 的 顶部 ， 并 通过 内 部 (RA) 
IF 来 评估 ， 选 择 B 执 行路 径 。 


使 用 这 个 结构 ， 我 们 可 以 用 数 十 或 数 百 个 执行 路 径 构 建 屿 回 脚本 ， 每 个 脚本 提供 了 一 种 不 同 
的 方式 来 兑换 UTXO。 要 花费 ， 我 们 构建 一 个 解锁 脚本 ， 通 过 在 每 个 流量 控制 点 的 堆栈 上 放 
置 相应 的 TRUE 和 FALSE 值 来 导航 执行 路 径 。 


7.7 复 杂 的 脚本 示例 


在 本 节 中 ， 我 们 将 本 章 中 的 许多 概念 合并 成 一 个 例子 。 我 们 的 例子 使 用 了 迪拜 公司 所 有 者 
Mohammed 的 故事 ， 他 们 正在 经 营 进出 口 业 务 。 


在 这 个 例子 中 ，Mohammed 和 希望 用 灵活 的 规则 建立 公司 资本 账户 。 他 创建 的 方案 需要 不 同 级 
别 的 授权 ， 有 具体 取决 于 时 间 锁 定 。 


多 重 签 名 的 计划 的 参与 者 是 Mohammed， 他 的 两 个 合作 伙伴 Saeed 和 Zaira， 以 及 他 们 的 公司 
律师 Abdul。 三 个 合作 伙伴 根据 多 数 规则 作出 决定 ， 因 此 三 者 中 的 两 个 必须 同意 。 然 而 ， 如 果 
他 们 的 钥 是 有 问题 ， 他 们 希望 他 们 的 律师 能 够 用 三 个 合作 伙伴 签名 之 一 收回 资金 。 最 后 ， 如 
果 所 有 的 合作 伙伴 一 段 时 间 都 不 可 用 或 无 行为 能 力 ， 他 们 希望 律师 能 够 直接 管理 该 帐户 。 


这 是 Mohammed 设 计 的 脚本 : 具有 时 间 锁 定 (Timelock) 变量 的 多 重 签名 


IF 
IF 
2 
ELSE 
<30 days> CHECKSEQUENCEVERIFY DROP 
«Abdul the Lawyer's Pubkey> CHECKSIGVERIFY 
1 
ENDIF 
«Mohammed's Pubkey» «Saeed's Pubkey» «Zaira's Pubkey» 3 CHECKMULTISIG 
ELSE 
«90 days» CHECKSEQUENCEVERIFY DROP 
«Abdul the Lawyer's Pubkey» CHECKSIG 
ENDIF 


Mohammed 44) Jp KAE FAR AIF... ELSE 流 控制 子 名 来 实现 三 个 执行 路 径 。 

在 第 一 个 执行 路 径 中 ， 该 脚本 作为 三 个 合作 伙伴 的 简单 的 2-of-3 multisig 操 作 。 

该 执行 路 径 由 第 3 行 和 第 9 行 组 成 。 第 3 行将 multisig 的 定额 设置 为 2 (2-3) 。 

该 执行 路 径 可 以 通过 在 解锁 脚本 的 末尾 设置 TRUE TRUE 来 选择 : 解锁 第 一 个 执行 路 径 的 脚 


本 (2-of-3 multisig ) 


© «Mohammed's Sig» «Zaira's Sig» TRUE TRUE 


提示 此 解锁 脚本 开头 的 0 是 因为 CHECKMULTISIG 中 的 错误 从 堆栈 中 弹出 一 个 额外 的 值 。 额 
外 的 值 被 CHECKMULTISIG 和 忽略 ， 否 则 脚本 签名 将 失败 。 推送 0 (通常 ) 是 解决 bug 的 方法 ， 
如 CHECKMULTISIG 执 行 中 的 错误 章节 所 述 。 


第 二 个 执行 路 径 只 能 在 UTXO 创 建 30 天 后 才能 使 用 。 那 时 候 ， 它 需要 签署 Abdu|l (律师 ) 和 三 
个 合作 伙伴 之 一 (三 分 之 一 ) 。 


这 是 通关 RAE ARI C 的 法 定 人 数 设 置 为 1。 要 选择 此 执行 路 径 ， 解 锁 脚 本 将 以 
第 二 个 执行 路 径 的 脚本 (Lawyer + 1-of-3 ) 


9 «Saeed's Sig» «Abdul's Sig» FALSE TRUE 


提示 为 什么 先 FALSE 后 TRUE ? RTS? 这 是 因为 这 两 个 值 被 推 到 堆栈 ， 所 以 先 push 
FALSE， 然 后 push TRUE 。 因此 ， 第 一 个 IF 操作 码 首先 弹出 的 是 TRUE © 


最 后 ， 第 三 个 执行 路 径 允 许 律 师 单独 花费 资金 ， 但 只 能 在 90 天 之 后 。 要 选择 此 执行 路 径 ， 解 
锁 脚 本 必须 以 FALSE 结 束 : 解锁 第 三 个 执行 路 径 的 脚本 ( 仅 适 用 于 律师 ) 


«Abdul's Sig» FALSE 


在 纸 上 运 行 脚本 来 查看 它 在 堆栈 (stack) 上 的 行为 。 
阅读 这 个 例子 还 需要 考虑 几 件 事情 。 看 看 你 能 找到 答案 吗 ? 


o 为 什么 律师 可 以 随时 通过 在 解锁 脚本 中 选择 FALSE 来 兑换 第 三 个 执行 路 径 ? 

e 在 UTXO 开 采 后 分 别 有 多 少 个 执行 路 径 可 以 使 用 5,35 与 105 天 ? 

e 如 果 律 师 失 去 钥匙 ， 资 金 是 否 流失 ? 如 果 91 天 过 去 了 ， 你 的 答案 是 否 会 改变 ? 
° EAE PER EIT OR OUR EE 以 防止 律师 获得 资金 ? 

。 为 什么 这 个 脚本 中 的 一 些 CHECKSIG 操 作 码 有 VERIFY 后 级 ， 而 其 他 的 没有 ? 


8.1 P2PH 25 0E 14 


比特 币 采 用 了 基于 国际 互联 网 (Internet) 的 P2P (peer-to-peer) 网 络 架构 。P2P 是 指 位 于 同 
一 网 络 中 的 每 台 计 算 机 都 彼此 对 等 ， 各 个 节点 共同 提供 网 络 服务 ， 不 存在 任何 特殊" 节 点。 每 
个 网 络 节点 以 "扁平 (flat) ”的 拓扑 结构 相互 连通 。 在 P2P 网 络 中 不 存在 任何 服务 端 
(server) 、 中 央 化 的 服务 、 以 及 层级 结构 。P2P 网 络 的 节点 之 问 交互 运作 、 协 同 处 理 : 每 个 
节点 在 对 外 提供 服务 的 同时 也 使 用 网 络 中 其 他 节点 所 提供 的 服务 。P2P 网 络 也 因此 有 具有 可 靠 
性 、 去 中 心 化 ， 以 及 开放 性 。 旱 期 的 国际 互联 网 就 是 P2P 网 络 架 构 的 一 个 典型 用 例 : IPRS 
中 的 各 个 节点 完全 平等 。 当 今 的 互联 网 架构 具有 分 层 架 构 ， 但 是 IP 协议 仍然 保留 了 扁平 拓 扑 
的 结构 。 在 比特 币 之 外 ， 规 模 最 大 也 最 成 功 的 P2P 技 术 应 用 是 在 文件 分 享 领域 : Napster 是 该 
领域 的 先锋 ，BitTorrent 是 其 架构 的 最 新 演变 。 


比特 币 所 采用 的 P2P 网 络 架构 不 仅仅 是 选择 拓扑 结构 这 样 简单 。 比 特 币 被 设计 为 一 种 点 对 点 的 
数字 现金 系统 ， 它 的 网 络 架构 既是 这 种 核心 特性 的 反映 ， 也 是 该 特性 的 基石 。 去 中 心 化 控制 
是 设计 时 的 核心 原则 ， 它 只 能 通过 维持 一 种 扁平 化 、 去 中 心 化 的 P2P 共 识 网 络 来 实现 。 


“比特 币 网 络 "是 按照 比特 币 P2P 协 议 运 行 的 一 系列 节点 的 集合 。 除 了 比特 币 P2P 协 议 之 外 ， 比 
特 币 网 络 中 也 包含 其 他 协议 。 例 如 Stratum 协 议 就 被 应 用 于 挖 矿 、 以 及 轻 量 级 或 移动 端 比 特 币 
钱包 之 中 。 网 关 (gateway) 路 由 服务 器 提供 这 些 协 议 ， 使 用 比特 币 P2P 协 议 接 入 比特 币 网 
络 ， 并 把 网 络 拓 展 到 运行 其 他 协议 的 各 个 节点 。 例 如 ，Stratum 服 务 器 通过 Stratum 协 议 将 所 
有 的 Stratum 挖 矿 节点 连接 至 比特 币 主 网 络 、 并 将 Stratum 协 议 桥 接 (bridge) 至 比特 币 P2P 协 
BUE 上 。 我 们 使 用 “扩展 比特 币 网 络 (extended bitcoin network) " 指 代 所 有 包含 比特 币 P2P 协 
议 、 矿 池 按 矿 协议 、Stratum 协议 以 及 其 他 连接 比特 币 系 统 组 件 相关 协议 的 整体 网 络 结构 。 


8.2 节点 类 型 及 角色 


尽管 比特 币 P2P 网 络 中 的 各 个 节点 相互 对 等 ， 但 是 根据 所 提供 的 功能 不 同 ， 各 节点 可 能 具有 不 
同 的 角色 。 每 个 比特 币 节点 都 是 路 由 、 区 块 链 数据 库 、 控 人 矿 、 钱 包 服 务 的 功能 集合 。 一 个 全 
节点 (full node) 包括 如 图 8-1 所 示 的 四 个 功能 : 





图 8-1 比 特 币 网 络 节 点 ， 具 有 所 有 四 个 功能 : 钱包 ， 矿 工 ， 完 整 的 区 块 链 数 据 库 和 网 络 路 由 


每 个 节点 都 参与 全 网 络 的 路 由 功能 ， 同 时 也 可 能 包含 其 他 功能 。 每 个 节点 都 参与 验证 并 传播 
交易 及 区 块 信息 ， 发 现 并 维持 与 对 等 节点 的 连接 。 在 图 8-1 所 示 的 全 节点 用 例 中 ， 名 为 “网 络 路 
由 节点 "的 橙色 国 圈 字母 'N' 即 表示 该 路 由 功能 。 


一 些 节 点 保有 一 份 完整 的 、 最 新 的 区 块 链 拷贝 ， 这 样 的 节点 被 称 为 "全 节点 "”。 全 节点 能 够 独立 
自主 地 校 验 所 有 交易 ， 而 不 需 借 由 任何 外 部 参照 。 另 外 还 有 一 些 节 点 只 保留 了 区 块 链 的 一 部 
分 ， 它 们 通过 u a (SPV) "HA 式 来 完成 交易 验证 。 这 样 的 节点 被 称 
为 "SPV 节 点 "， 又 叫 " 轻 量 级 节点 "。 在 如 上 图 所 示 的 全 节点 用 例 中 ， 名 为 完整 区 块 链 的 蓝 色 贺 
圈 字 母 “B” 即 表示 了 全 节点 ui 86 » Æ H8-S T ^ SPVF RRAKECH A UTE 
们 没有 区 块 链 的 完整 拷贝 。 


挖 矿 节点 通过 运行 在 特殊 硬件 设备 上 的 工作 量 证 明 (proof-of-work) 算法 ， 以 相互 竞争 的 方式 
创建 新 的 区 块 。 一 些 挖 矿 节点 同时 也 是 全 节点 ， 保 有 区 块 链 的 完整 拷贝 ; 还 有 一 些 参与 矿 池 
挖 矿 的 节点 是 轻 量 级 节点 ， 它 们 必须 依赖 矿 池 服务 器 维护 的 全 节点 进行 工作 。 在 全 节点 用 例 
中 ， 挖 矿 功 能 如 图 中 名 为 “矿工 ”的 黑色 圆圈 字母 “M" 所 示 。 


用 户 钱 包 也 可 以 作为 全 节点 的 一 部 分 ， 这 在 桌面 比特 币 客户 端 中 比较 常见 。 当 前 ， 越 来 越 多 
的 用 户 钱包 都 是 SPV 节 点 ， 尤 其 是 运行 于 诸如 智能 手机 等 资源 受 限 设备 上 的 比特 币 钱包 应 

用 ; 而 这 正 变 得 越 来 越 普遍 。 在 图 8-1 中 ， 名 为 "钱包 "的 绿色 圆圈 字母 人 "代表 钱包 功能 。 

在 比特 币 P2P 协 议 中 ， 除 了 这 些 主要 的 节点 类 型 之 外 ， 还 有 一 些 服务 器 及 节点 也 在 运行 着 其 他 
协议 ， 例 如 特殊 矿 池 挖 矿 协议 、 轻 量 级 客户 端 访问 协议 等 。 


图 8-2 描 述 了 扩展 比特 币 网 络 中 最 为 常见 的 节点 类 型 。 

















iie det S 


Ware: 








Reference Client (Bitcoin Core) 


Contains a Wallet, Miner, full Blockchain database, and Network routing 
node on the bitcoin P2P network. 


Full Block Chain Node 


Contains a full Blockchain database, and Network routing node on the 
bitcoin P2P network. 


Solo Miner 


Contains a mining function with a full copy of the blockchain and a bitcoin 
P2P network routing node. 


Lightweight (SPV) wallet 


Contains a Wallet and a Network node on the bitcoin P2P protocol, 
without a blockchain. 


Pool Protocol Servers 


Gateway routers connecting the bitcoin P2P network to nodes running 
other protocols such as pool mining nodes or Stratum nodes. 


Mining Nodes 


Contain a mining function, without a blockchain, with the Stratum protocol 
node (S) or other pool (P) mining protocol node. 


Lightweight (SPV) Stratum wallet 


Contains a Wallet and a Network node on the Stratum protocol, without a 
blockchain. 


图 8-2 描 述 了 扩展 比特 币 网 络 中 最 为 常见 的 节点 类 型 。 


8.3 扩展 比特 币 网 络 


运行 比特 币 P2P 协 议 的 比特 币 主 网 络 由 大 约 5000-8000 个 运行 着 不 同 版 本 比特 币 核心 客户 端 
(Bitcoin Core) 的 监听 节 点 、 以 及 几 百 个 运行 着 各 类 比特 币 P2P 协 议 的 应 用 《例如 Bitcoin 
Classic, Bitcoin Unlimited, BitcoinJ, Libbitcoin, btcd, and bcoin 等 ) 的 节点 组 成 。 比 特 币 P2P 
网 络 中 的 一 小 部 分 节点 也 是 挖 矿 节点 ， 它 们 竞争 挖 矿 、 验 证 交易 、 并 创建 新 的 区 块 。 许 多 连 
| 比特 币 网 络 的 大 型 公司 运行 和 端的 全 节点 客户 端 ， 它 们 具有 区 块 链 

完整 拷贝 及 网 络 节点 ， 但 不 具备 挖 矿 及 钱包 功能 。 这 些 节 点 是 网 络 中 的 边缘 路 由 器 (edge 
| 通过 它们 可 以 搭建 其 他 服务 ， 例 如 交易 所 、 钱 包 、 区 块 浏览 器 、 商 家 支付 处 理 
(merchant payment processing) 等 。 


如 前 文 所 述 ， 扩 展 比 特 币 网 络 既 包括 了 运行 比特 币 P2P 协 议 的 网 络 ， 又 包含 运行 特殊 协议 的 网 
络 节点 。 比 特 币 P2P 主 网 络 上 连接 着 许多 矿 池 服务 器 以 及 协议 网 关 ， 它 们 把 运行 其 他 协议 的 节 
点 连接 起 来 。 这 些 节 点 通常 都 是 矿 池 控 矿 节点 (参见 挖 矿 章 节 ) 以 及 轻 量 级 钱包 客户 端 ， 它 
们 通常 不 具备 区 块 链 的 完整 备份 。 


图 8-3 描 述 了 扩展 比特 币 网 络 ， 它 包括 了 多 种 类 型 的 节点 、 网 关 服 务 器 、 边 缘 路 由 器 、 钱 包 客 
户 端 以 及 它们 相互 连接 所 需 的 各 类 协议 。 
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协议 的 扩展 比特 币 网 络 


图 8-3 显示 各 种 节点 类 型 ， 网 关 和 


8.4 比 特 币 传播 网 络 


虽然 比特 币 P2P 网 络 服务 于 各 种 各 样 的 节点 类 型 的 一 般 需求 ， 但 是 对 于 比特 币 挖 气节 点 的 专 站 
需求 ， 它 显示 出 太 高 的 网 络 延 迟 。 


比特 币 矿业 公司 正在 进行 时 间 敏 感 的 竞争 ， 以 解决 工作 证 明 问 题 ， 并 扩大 区 块 链 (参见 
章节 ) 。 在 参加 比赛 时 ， 比 特 币 矿工 必须 最 大 限度 地 缩短 获胜 块 的 传播 与 下 一 轮 比 赛 开 
间 的 时 间 。 在 采矿 方面 ， 网 络 延 迟 与 利润 率直 接 相 关 。 


比特 币 传 播 网 络 是 一 种 尝试 最 小 化 矿工 之 间 传 输 块 的 延迟 的 网 络 。 原 始 的 比特 币 传播 网 络 是 
由 核心 开发 商 Matt Corallo 于 2015 年 创建 的 ， 以 便 能 够 以 非常 低 的 延迟 在 矿工 之 间 快 速 同步 
块 。 该 网 络 由 世界 各 地 的 亚马逊 Web 服 务 基础 架构 上 托管 的 几 个 专门 的 节点 组 成 ， 并 且 连 接 
大 多 数 矿 工 和 采矿 池 。 


原始 的 比特 币 传 播 网 络 在 2016 年 被 蔡 换 为 Fast Internet Bitcoin Relay Engine or FIBRE > #4 t 
核心 开发 商 Matt Corallo 创 建 。 FIBER 是 一 种 基于 UDP 的 中 继 网 络 ， 可 以 中 继 节点 网 络 内 的 
块 。 FIBER 实 现 了 compact block， 以 进一步 减少 传输 的 数据 量 和 网 络 延 迟 。 

康 奈 尔 大 学 研究 的 另 一 个 中 继 网 络 ( 仍 在 提案 阶段 ) X Falcon» Falcon 使 用 “直通 路 由 ”而 不 
是 “存储 转发 "来 减少 延迟 ， 通 过 传播 块 的 部 分 ， 而 不 是 等 待 直到 接收 到 完整 的 块 。 
传播 网 络 不 是 比特 币 的 P2P 网 络 的 替代 品 。 相 反 ， 它 们 是 履 盖 网 络 ， 在 具有 特殊 需求 的 节点 之 
间 提 供 额 外 的 连接 像 高 速 公路 不 是 农村 道路 的 替代 品 ， 而 是 交通 繁忙 的 两 点 之 间 的 快捷 方 

式 ， 您 仍然 需要 小 路 连接 高 速 公路 。 


8.5 网 络 发 现 


当 新 的 网 络 节 点 启动 后 ， 为 了 能 够 参与 协同 运作 ， 它 必须 发 现 网 络 中 的 其 他 比特 币 节点 。 新 
的 网 络 节点 必须 发 现 至 少 一 个 网 络 中 存在 的 节点 并 建立 连接 。 由 于 比特 币 网 络 的 拓扑 结构 并 
不 基于 节点 间 的 地 理 位 置 ， 因 此 各 个 节点 之 间 的 地 理 信 息 完 全 无 关 。 在 新 节点 连接 时 ， 可 以 
随机 选择 网 络 中 存在 的 比特 币 节点 与 之 相连 


节点 通常 采用 TCP 协 议 、 使 用 8333 端 口 (该 端口 号 通常 是 比特 币 所 使 用 的 ， 除 8333 端 口外 也 
pou dm dh ici e TT didis RF a 
包含 基本 认证 内 容 的 version 消 息 开 始 “握手 "通信 过 程 ( 见 图 8-4)。 这 一 过 程 包括 如 下 内 容 : 


[> nVersion 
定义 了 客户 端 所 “说 出 ”的 比特 币 P2P 协 议 所 采用 的 版 本 (例如 : 70002) ° 
D nLocalServices 


一 组 该 节点 支持 的 本 地 服务 列表 ， 当 前 仅 支持 NODE_NETWORK 


> nTime 

当前 时 间 

[> addrYou 

当前 节点 可 见 的 远程 节点 的 I|P 地 址 

D» addrMe 

本 地 节点 所 发 现 的 本 机 IP 地 址 

[> subver 

指示 当前 节点 运行 的 软件 类 型 的 子 版 本 号 〈 例 如 : "ISatoshi:0.9.2.1/") 

œ BaseHeight 

当前 节点 区 块 链 的 区 块 高 度 (version 网 络 消息 的 具体 用 例 请 参见 GitHub ) 


版 本 消息 始终 是 任何 对 等 体 发 送 给 另 一 个 对 等 体 的 第 一 条 消息 。 接 收 版 本 消息 的 本 地 对 等 体 
将 检查 远程 对 等 体 报告 的 nVersion， 并 确定 远 端 对 等 体 是 否 兼 容 。 如 果 远 程 对 等 体 兼容 ， 则 
本 地 对 等 体 将 确认 版 本 消息 ， 并 通过 发 送 一 个 verack 建 立 连接 。 


新 节点 如 何 找到 对 等 体 ? 第 一 种 方法 是 使 用 多 个 ‘DNS 种子” 来 查询 DNS， 这 些 DNS 服 务 器 提 
供 比 特 币 节 点 的 IP 地 址 列表 。 其 中 一 些 DNS 种 子 提供 了 稳定 的 比特 币 侦 听 节 点 的 静态 IP 地 址 
列表 。 一些 DNS 种 子 是 BIND (Berkeley Internet Name Daemon) 的 自 定义 实现 ， 它 从 搜索 
器 或 长 时 间 运 行 的 比特 币 节点 收集 的 比特 币 节点 地 址 列表 中 返回 一 个 随机 子 集 。Bitcoin Core 
客户 端 包含 五 种 不 同 DNS 种 子 的 名 称 。 不 同 DNS 种 子 的 所 有 权 和 多 样 性 的 多 样 性 为 初始 引导 
过 程 提 供 了 高 水 平 的 可 靠 性 。 在 Bitcoin Core 客 户 端 中 ， 使 用 DNS 种 子 的 选项 由 选项 Switch - 
dnsseed 控 制 (默认 设置 为 1， 以 使 用 DNS 种 子 ) ° 


或 者 ， 不 知道 网 络 的 引导 节点 必须 被 给 予 至 少 一 个 比特 币 节 点 的 IP 地 址 ， 之 后 可 以 通过 进 一 
步 介 绍 来 建立 连接 。 命令 行 参 数 -seednode 可 用 于 连接 到 一 个 节点 ， 仅 用 于 将 其 用 作 种 子 。 
在 使 用 初始 种 子 节点 形成 介绍 后 ， 客 户 端 将 断 开 连接 并 使 用 新 发 现 的 对 等 体 。 


Node A Node B 


< 1iWIL 





E] 8-4 对 等 体 之 间 的 初始 握手 


当 建 立 一 个 或 多 个 连接 后 ， 新 节点 将 一 条 包含 自身 IP 地 址 的 addr 消 息 发 送 给 其 相 邻 节点 。 相 
邻 节点 再 将 此 条 addr 消 息 依 次 转发 给 它们 各 自 的 相 邻 节点 ， 从 而 保证 新 节点 信息 被 多 个 节点 
所 接收 、 保 证 连接 更 稳定 。 另 外 ， 新 接 入 的 节点 可 以 向 它 的 相 邻 节点 发 送 getaddr 消 息 ， 要 求 
它们 返回 其 已 知 对 等 节点 的 IP 地 址 列表 。 通 过 这 种 方式 ， 节 点 可 以 找到 需 连 接 到 的 对 等 节 
点 ， 并 向 网 络 发 布 它 的 消息 以 便 其 他 节点 查找 。 图 8-5 描 述 了 这 种 地 址 发 现 协 议 。 


Node A Node B 


«WIL 





图 8-5 地 址 传播 和 发 现 


节点 必须 连接 到 若干 不 同 的 对 等 节点 才能 在 比特 币 网 络 中 建立 通 向 比特 币 网 络 的 种 类 各 异 的 
路 径 (path) 。 由 于 节点 可 以 随时 加 入 和 离开 ， 通 讯 路 径 是 不 可 靠 的 。 因 此 ， 节 点 必须 持续 
进行 两 项 工作 : 在 失去 已 有 连接 时 发 现 新 节点 ， 并 在 其 他 节点 局 动 时 为 其 提供 帮助 。 节 点 局 

动 时 只 需要 一 个 连接 ， 因 为 第 一 个 节点 可 以 将 它 引 荐 给 它 的 对 等 节点 ， 而 这 些 节点 又 会 进 一 
步 提 供 引 着 。 一 个 节点 ， 如 果 和 连接 到 大 量 的 其 他 对 等 节点 ， 这 既 没 必要 ， 也 是 对 网 络 资源 的 
浪费 。 在 局 动 完 成 后 ， 节 点 会 记 住 它 最 近 成 功 连接 的 对 等 节点 ; 因此 ， 当 重新 启动 后 它 可 以 
迅速 与 先前 的 对 等 节点 网 络 重新 建立 连接 。 如 果 先 前 的 网 络 的 对 等 节点 对 连接 请 求 无 应 答 ， 

该 节点 可 以 使 用 种 子 节点 进行 重启 动 。 


在 运行 比特 币 核心 客户 端的 节点 上 ， 您 可 以 使 用 getpeerinfo 命令 列 出 对 等 节点 连接 信息 : 


$ bitcoin-cli getpeerinfo 


"addr" : "85.213.199.39:8333", 
"services" : "90000001", 
"lastsend" : 1405634126, 
"lastrecv" : 1405634127, 
"bytessent" : 23487651, 
"bytesrecv" : 138679099, 
"conntime" : 1405021768, 
"pingtime" : 0.00000000, 


"version" : 70002, 
"subver" : "/Satoshi:0.9.2.1/", 
"inbound" : false, 
"startingheight" : 310131, 
"banscore" : 0, 
"syncnode" : true 

{ 
"addr" : "58.23.244.20:8333", 
"services" : "90000001", 
"lastsend" : 1405634127, 
"lastrecv" : 1405634124, 
"bytessent" : 4460918, 
"bytesrecv" : 8903575, 
"conntime" : 1405559628, 
"pingtime" : 0.00000000, 
"version" : 70001, 
"subver" : "/Satoshi:0.8.6/", 
"inbound" : false, 
"startingheight" : 311074, 
"banscore" : 0, 
"syncnode" : false 

} 


用 户 可 以 通过 提供 -connect= 选项 来 指定 一 个 或 多 个 IP 地 址 ， RE ] 履 盖 自动 节点 管理 功能 
并 指定 |P 地 址 列表 的 目的 。 如 果 采 用 此 选项 ， 节 点 只 连接 到 这 些 选 定 的 节点 |P 地 址 ， 而 不 会 自 
动 发 现 并 维护 对 等 节点 之 间 的 连接 。 


如 果 已 建立 的 连接 没有 数据 通信 ， 所 在 的 节点 会 定期 发 送信 息 以 维持 连接 。 如 果 节 点 持续 某 

个 连接 长 达 90 分 钟 没有 任何 通信 ， 它 会 被 认为 已 经 从 网 络 中 断 开 ， 网 络 将 开始 查找 一 个 新 的 
对 等 节点 。 因 此 ， 比 特 币 网 络 会 随时 根据 变化 的 节点 及 网 络 问题 进行 动态 调整 ， 不 需 经 过 中 
心 化 的 控制 即 可 进行 规模 增 减 的 有 机 调整 。 


8.6 全 节点 


占 


点 是 指 维持 包含 全 部 交易 信息 的 完整 区 块 链 的 节点 。 更 加 准确 地 说 ， 这 样 的 节点 应 当 被 
整 区 块 链 节点 "。 在 比特 币 发 展 的 早期 ， 所 有 节点 都 是 全 节点 ; 当前 的 比特 币 核心 客户 
完 


整 区 块 链 节点 。 但 在 过 去 的 两 年 中 出 现 了 许多 新 型 客户 端 ， 它 们 不 需要 维持 完整 的 


全 
尔 


3h 


4 
7 
端 也 是 


区 块 链 ， 而 是 作为 轻 量 级 客户 端 运行 。 在 下 面 的 章节 里 我 们 会 对 这 些 轻 量 级 客户 端 进 行 详 细 
介绍 o 


2] £u 


完整 区 块 链 节点 保有 完整 的 、 最 新 的 包含 全 部 交易 信息 的 比特 币 区 块 链 拷贝 ， 这 样 的 节点 可 
以 独立 地 进行 建立 并 校 验 区 块 链 ， 从 第 一 区 块 ( 创 世 区 块 ) 一 直 建 立 到 网 络 中 最 新 的 区 块 。 
完整 区 块 链 节点 可 以 独立 自主 地 校 验 任何 交易 信息 ， 而 不 需要 借助 任何 其 他 节点 或 其 他 信息 
来 源 。 完 整 区 块 节 点 通过 比特 币 网 络 获取 包含 交易 信息 的 新 区 块 更 新 ， 在 验证 无 误 后 将 此 更 
新 合并 至 本 地 的 区 块 链 描 贝 之 中 。 


运行 完整 区 块 链 节点 可 以 给 您 一 种 纯粹 的 比特 币 体 验 : 不 需 借 助 或 信任 其 他 系统 即 可 独立 地 
对 所 有 交易 信息 进行 验证 。 辨别 您 是 否 在 运行 全 节点 是 十 分 容易 的 : 只 需要 查看 您 的 永久 性 
存储 设备 (如 硬盘 ) 是 否 有 超过 20GB 的 空间 被 用 mv 整 区 块 链 即 可 。 如 果 您 需要 很 大 的 
磁盘 空间 、 并 且 同 步 比特 币 网 络 耗 时 2 至 3 天 ， 那 么 您 使 用 的 正 是 全 节点 。 这 就 是 摆脱 中 心 化 
管理 、 获 得 完全 的 独立 自由 所 要 付出 的 代价 。 


管 目前 还 有 一 些 使 用 不 同 编程 语言 及 软件 架构 的 其 他 的 完整 区 块 链 客户 端 存 在 ， 但 是 最 常 
用 pun 然 是 比特 币 核心 客户 端 ， 它 也 被 称 为 “Satoshi 客 户 端 "。 比 特 币 网 络 中 超过 90% 的 节点 
运行 着 各 个 版 本 的 比特 币 核心 客户 端 。 如 前 文 所 述 ， 它 可 以 通过 节点 间 发 送 的 version 消 息 或 
通过 getpeerinfo 命 令 所 得 到 的 子 版 本 字符 串 “Satoshi" 加 以 辨识 ， 例 如 /Satoshi: 0.8.6/。 


8.7 交换 “库存 清单 ” 


一 个 全 节点 连接 到 对 等 节 ose ae 
一 个 全 新 节点 ， 那 么 它 就 不 包含 任何 区 块 链 信息 静态 植 入 在 客户 端 
软件 中 的 创 世 区 块 。 新 节点 需要 下 载 从 0 号 区 块 ( 创 世 EC OUR e IDE , 
才能 跟 网 络 同步 、 并 重建 全 区 块 链 。 





同步 区 块 链 的 过 程 从 发 送 version 消 息 开 始 ， 这 是 因为 该 消息 中 含有 的 BestHeight 字 段 标 示 了 

一 个 节点 当前 的 区 块 链 高 度 (区 块 数量 ) 。 节 点 可 以 从 它 的 对 等 节点 中 得 到 版 本 消息 ， 了 解 

双方 各 自 有 多 少 区 块 ， 从 而 可 以 与 其 自身 区 块 链 所 拥 有 的 区 块 数量 进行 比较 。 对 等 节点 们 会 

交换 一 个 getblocks 消 息 ， 其 中 包含 他 们 本 地 区 块 链 的 顶端 区 块 哈 希 值 (指纹 ) 。 如 果 某 个 对 

nd 出 它 接收 到 的 哈 希 值 并 不 属于 顶端 区 块 ， 而 是 属于 一 个 非 顶 端 区 块 的 昌 区 块 ， 那 
BART: 其 自身 的 本 地 区 块 链 比 其 他 对 等 节点 的 区 块 链 更 长 。 


拥有 更 长 区 块 链 的 对 等 节点 比 其 他 节点 有 更 多 的 区 块 ， 别 出 哪 些 区 块 们 是 其 他 节点 

要 “补充 ”的 。 它 会 识别 出 第 一 批 可 供 分 享 的 500 个 区 块 ， 通 过 使 用 inv (inventory) 消 ne 
些 区 块 的 哈 希 值 传播 出 去 。 缺 少 这 些 区 块 的 节点 便 可 以 通过 发 送 的 getdata 消 息 来 请 求 得 
到 全 区 块 信息 ， 用 包含 在 inv 消 息 中 的 哈 希 值 来 确认 是 否 为 正确 的 被 请 求 的 区 块 ， 从 而 读 取 这 
些 缺 失 的 区 块 。 


在 下 例 中 ， 我 们 假设 某 节 点 只 含有 创 世 区 块 。 它 收 到 了 来 自 对 等 节点 的 inv 消 息 ， 其 中 包含 了 
区 块 链 中 后 500 个 区 块 的 哈 希 值 。 于 是 它 开 始 向 所 有 与 之 相连 的 对 等 节点 请 求 区 块 ， 并 通过 分 
挫 工 作 量 的 方式 防止 单一 对 等 节点 被 批量 请 求 所 压 垮 。 该 节点 会 追踪 记录 其 每 个 对 等 节点 连 
接 上 “正在 传输 ”( 指 那些 它 已 经 发 出 了 请 ERRA 的 区 块 数 量 ， 并 且 检 查 该 数量 有 
没有 超过 上 限 ( MAX_BLOCKS IN TRANSIT PER PEER ) 。 用 这 种 办 法 ， 如 果 一 个 节点 
需要 更 新 大 量 区 块 ， 它 会 在 上 一 请 求 完成 后 才 发 送 对 新 区 块 的 请 求 ， 从 而 允许 对 等 节点 控制 
更 新 速度 ， 不 至 于 压 震 网络。 每 一 个 区 块 在 被 接收 后 就 会 被 添加 至 区 块 链 中 ， 这 一 过 程 详 见 
挖 矿 一 章 。 随 着 本 地 区 块 链 的 逐步 建立 ， 越 来 越 多 的 区 块 被 请 求 和 接收 ， 整 个 过 程 将 一 直 持 
续 到 该 节点 与 全 网 络 完成 同步 为 止 。 


每 当 一 个 节点 离线 ， 不 管 离线 时 间 有 多 长 ， 这 个 与 对 等 节点 比较 本 地 区 块 链 并 恢复 缺失 区 块 
的 过 程 就 会 被 触发 。 如 果 一 个 节点 只 离线 几 分钟 ， 可 能 只 会 缺失 几 个 区 块 ; 当 它 离线 长 达 一 
个 月 ， 可 能 会 缺失 上 千 个 区 块 。 但 无 论 哪 种 情况 ， 它 都 会 从 发 送 getblocks 消息 开始 ， 收 到 
一 个 inv 响 应 ， 接 着 开始 下 载 缺失 的 区 块 。 库 存 清单 和 区 块 广播 协议 如 图 8-6 所 示 。 


Node A 
Node B 


inc um 


getdata 


< JWIl 





block 


block 
block 


图 8-6 节 RIK 等 
通过 从 对 等 体检 索 区 块 同步 区 块 链 


8 fal Z x4 mu simplified Payment 
DOE (SPV) ) 节点 


并 非 所 有 的 节点 都 有 能 力 储 存 完整 的 区 块 链 。 许 多 比特 币 客 户 端 被 设计 成 运行 在 空间 和 功率 
受 限 的 设备 上 ， 如 智能 电话 、 平 板 电脑 、 肉 入 式 系统 等 。 对 于 这 样 的 设备 ， ES 
验证 (SPV) 的 方式 可 以 使 它们 在 不 必 存 储 完整 区 块 链 的 情况 下 进行 工作 。 这 种 类 型 的 客 端 
被 称 为 SPV 客 户 端 或 轻 量 级 客户 端 。 随 着 比特 币 的 使 用 热潮 ，SPV 节 点 逐 aes 
(尤其 是 比特 币 钱包 ) 所 采用 的 最 常见 的 形式 。 


SPV 节 点 只 需 下 载 区 块头 ， 而 不 用 下 载 包含 在 每 个 区 块 中 的 交易 信息 。 由 此 产生 的 不 含 交 易 
言 息 的 区 块 链 ， 大 小 只 有 完整 区 块 链 的 111000。SPV 节 点 不 能 构建 所 有 可 用 于 消费 的 UTXO 的 
人 全貌 ， 这 是 由 于 它们 并 不 知道 网 络 上 所 有 交易 的 完整 信息 。SPV 节 点 验证 交易 时 所 使 用 的 方 
法 略 有 不 同 ， 这 个 方法 需 依赖 对 等 节点 “ 按 需 "提供 区 块 链 相关 部 分 的 局 部 视图 。 


打 个 比方 来 说 ， 每 个 全 节点 就 像 是 一 个 在 陌生 城市 里 的 游客 ， 他 带 着 一 张 包含 每 条 街道 、 每 
个 地 址 的 详细 地 图 。 相 比 之 下 ，SPV 节 点 就 像 是 这 0 eT 
名 字 ， 通 过 随机 询问 该 城市 的 陌生 人 来 获取 分 段 道路 指示 。 虽 然 两 种 游客 都 可 以 通过 实地 考 
察 来 验证 一 条 街 是 否 存在 ， 但 没有 地 图 的 游客 不 知道 每 个 小 蔡 中 有 哪些 街道 ， 也 不 知道 附近 
其 他 街道 。 没 有 地 图 的 游客 在 “教堂 街 23 号 "的 前 面 ， 并 不 知道 这 个 城市 里 是 否 还 有 其 

若干 条 “教堂 街 23 号 "， 也 不 知道 面前 的 这 个 是 否 是 要 找 的 那个 。 对 他 来 说 ， 最 好 的 方式 就 
coo 并 且 和 希望 其 中 一 部 分 人 不 是 要 试图 抢劫 他 。 


简易 支付 验证 是 通过 参考 交易 在 区 块 链 中 的 深度 ， 而 不 是 高 度 ， 来 验证 它们 。 一 个 拥有 完整 
区 块 链 的 节点 会 构造 一 条 验证 链 ， 这 条 链 是 由 沿 着 区 块 链 按时 间 倒 序 一 直 追 溯 到 创 世 区 块 的 
数 千 区 块 及 交易 组 成 。 而 一 个 SPV 节 点 会 验证 所 有 区 块 的 链 (但 不 是 所 有 的 交易 ) ， 并 且 把 
区 块 链 和 有 关 交 易 链接 起 来 。 


例如 ， 一 个 全 节点 要 检查 第 300,000 号 区 块 中 的 某 个 交易 ， 它 会 把 从 该 区 直 回 溯 到 创 
世 区 块 的 300,000 个 区 块 全 部 都 链接 起 来 ， 并 建立 一 个 完整 的 UTXO 数 据 库 ， 通 过 确认 该 
UTXO 是 否 还 未 被 支付 来 证 实 交易 的 有 效 性 。SPV 节 点 则 不 s 。 相 
反 地 ，SPV 节 点 会 在 该 交易 信息 和 它 所 在 区 块 之 间 用 merkle 路 径 ( 见 “Merkle 树 " 章 节 ) 建立 
一 条 链接 。 然 后 SPV 节 点 一 直 等 待 ， 直 到 序号 从 300,001 到 300,006 的 六 个 区 块 堆 合 在 该 交易 
所 在 的 区 块 之 上 ， 并 通过 确立 交易 的 深度 是 在 第 300,006 区 块 ~ 第 300,001 区 块 之 下 来 验证 交易 
的 有 效 性 。 事 实 上 ， 如 果 网 络 中 的 其 他 节点 都 接受 了 第 300,000 区 块 ， 并 通过 足够 的 工作 在 该 
块 之 上 又 生成 了 六 个 区 块 ， 根 据 代 理 网 关 协 议 ， 就 可 以 证 明 该 交易 不 是 双重 支付 。 


如 果 一 个 交易 实际 上 不 存在 ，SPV 节 点 不 会 误 认 为 该 交易 存在 于 某 区 块 中 。SPV 节 点 会 通过 
请 求 merkle 路 径 证 明 以 及 验证 区 块 链 中 的 工作 量 证 明 ， 来 证 实 交易 的 存在 性 。 可 是 ， 一 个 交 
匈 的 存在 是 可 能 对 SPV 节 点 "隐藏" 的。SPV 节 点 毫 无 疑问 可 以 证 实 茶 个 交易 的 存在 性 ， 但 它 不 
让 易 (He PUDOR ACELE) TAE UULROISPT ALA BETH 
有 交易 的 记录 。 这 个 漏洞 会 被 针对 SPV 节 点 的 拒绝 服务 攻击 或 双重 支付 型 攻击 所 利用 。 为 了 
防御 这 beide 需要 随机 连接 到 多 个 节点 ， 以 增加 与 至 少 一 个 可 靠 节点 相连 接 的 概 


率 。 这 种 随机 连接 的 需求 意味 着 SPV 节 点 也 容易 受到 网 络 分 区 攻击 或 Sybil 攻 击 。 在 后 者 情况 
中 ，SPV 节 点 被 连接 到 虚假 节点 或 虚假 网 络 中 ， 没 有 通 向 可 算 节 点 或 真正 的 比特 币 网 络 的 连 
接 。 


在 绝 大 多 数 的 实际 情况 中 ， 具 有 良好 连接 的 SPV 节 点 是 足够 安全 的 ， 它 在 资源 需求 、 实 用 性 
un Pie DRE To 失 的 安全 性 ， 最 可 靠 的 方法 还 是 运 
行 完 整 区 块 链 的 节 


提示 完整 的 区 块 链 节点 是 通过 检查 整个 链 中 在 它 之 下 的 数 千 个 区 块 来 保证 这 个 UTXO 没 有 被 
支付 ， 从 而 验证 交易 。 而 SPV 节 点 是 通过 检查 在 其 上 面 的 区 块 将 它 压 在 下 面 的 深度 来 验证 交 
易 。 
SPV 节 点 使 用 的 是 一 条 getheaders 消 息 ， 而 不 是 getblocks 消 息 来 获得 区 块头 。 发 出 响应 的 对 
等 节点 将 用 一 条 headers 消息 发 送 多 达 2000 个 区 块头 。 这 一 过 程 和 全 节点 获取 所 有 区 块 的 过 
程 没什么 区 别 。SPV 节 点 还 在 与 对 等 节点 的 连接 上 设置 了 过 滤器 ， ua 滤 从 对 等 节点 发 来 
的 未 来 区 块 和 交易 数据 流 。 任 何 目 标 交易 都 是 通过 一 条 getdata 的 请 求 来 读 取 的 。 对 等 节点 生 
成 一 条 包含 交易 信息 的 tx 消息 作为 响应 。 区 块头 的 同步 过 程 如 图 8-7 所 示 。 
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图 8-7SPV 节 点 同步 区 块头 


由 于 SPV 节 点 需要 读 取 特 定 交 易 从 而 选择 性 地 验证 交易 ， 这 样 就 又 产生 了 隐私 风险 。 与 全 区 
块 链 节 点 收集 每 一 个 区 块 内 的 全 部 交易 所 不 同 的 是 ，SPV 节 点 对 特定 数据 的 请 求 可 能 无 意 中 
透露 了 钱包 里 的 地 址 信息 。 例 如 ， 监 控 网 络 的 第 三 方 可 以 跟踪 某 个 SPV 节 点 上 的 钱包 所 请 求 
的 全 部 交易 信息 ， 并 且 利 用 这 些 交易 信息 把 比特 征地 址 和 钱包 的 用 户 关联 起 来 ， 从 而 损害 了 
用 户 的 隐私 。 

在 引入 SPV 节 点 / 轻 量 级 节点 后 不 久 ， 上 比特 币 开 发 人 员 就 添加 了 一 个 新 功能 : Bloom 过 滤器 ， 
用 以 解决 SPV 节 点 的 隐私 风 险 问 题 。Bloom 过 滤器 通过 一 个 采用 概率 而 不 是 国定 模式 的 过 滤 
机 制 ， 允 许 SPV 节 点 只 接收 交易 信息 的 子 集 ， 同 时 不 会 精确 泄露 哪些 是 它们 感 兴趣 的 地 址 。 


在 引入 SPV / 轻 量 级 节点 后 不 久 ， 比 特 币 开发 人 员 添 加 了 一 个 名 为 bloom 过 滤器 的 功能 来 解决 
SPV 节 点 的 隐私 风险 。 Bloom 过 滤器 允许 SPV 节 点 接收 交易 的 一 个 子 集 ， 通 过 使 用 概率 而 不 
是 国定 模式 的 过 滤 机 制 无 需 精 确 地 揭示 他 们 感 兴 趣 的 地 址 。 


8.9 Bloom X X 2 


Bloom 过 滤器 是 一 个 允许 用 户 描述 特定 的 关键 词 ee ents ° 
它 能 让 用 户 在 有 效 搜索 关键 词 的 同时 保护 他 们 的 隐私 。 在 SPV 节 点 里 ， 这 一 方法 被 用 来 向 对 
等 节点 发 送 交 易 信息 查询 请 求 ， 同 时 交易 地 址 不 会 被 暴露 。 


用 我 们 之 前 的 例子 ， 一 位 手中 没有 地 图 的 游客 需要 询问 去 特定 地 方 的 路 线 。 如 果 他 向 陌生 人 

询问 “教堂 街 23 号 在 哪里 ”， 不 经 意 之 间 ， 他 就 暴露 了 自己 的 目的 地 。Bloom 过 滤器 则 会 这 样 

问 ， 附 近 有 带 ' 堂 ' 字 的 街道 吗 ? ?这 样 的 问 法 包含 了 比 之 前 略 少 的 关键 词 。 这 位 游客 可 以 自己 选 
择 包含 信息 的 多 少 ， 比 如 "以 ' 堂 街 ' 结 尾 " 或 者 " 教 ' 字 开头 的 街道 "。 如 果 他 问 得 越 少 ， 得 到 了 更 
多 可 能 的 地 址 ， 隐 私 得 到 了 保护 ， 但 这 些 地 址 里 面 不 乏 无 关 的 结果 ; 如 果 他 问 得 非常 具体 ， 

他 在 得 到 较 准 确 的 结果 的 同时 也 暴露 了 自己 的 隐私 。 


Bloom 过 滤器 可 以 让 SPV 节 点 指 i > 该 搜索 模式 可 以 基于 准确 性 或 私密 性 的 考 

虑 被 调节 。 一 个 非常 具体 ee E 滤器 会 生成 更 准确 的 结果 ， 但 也 会 显示 该 用 户 钱 包 里 的 

eas 反之 ， 如 果 过 滤器 只 包含 简单 的 关键 词 ， 更 多 相应 的 交易 会 被 搜索 出 来 ， 在 包 
PERN E 


8.9.1 Bloom 过 滤器 如 何 工作 


Bloom 过 滤器 的 实现 是 由 一 个 可 变 长 度 (N) 的 二 进 制 数组 (NN 位 二 进 制 数 构成 一 个 位 域 ) 和 
数量 可 变 (M) 的 一 组 哈 希 函数 组 成 。 这 些 哈 希 函数 的 输出 值 始终 在 1 和 NN 之 间 ， 该 数值 与 二 
进 制 数组 相对 应 。 并 且 该 防 数 为 确定 性 函数 ， 也 就 是 说 任何 一 个 使 用 相 HBOom eT 点 

通过 该 函数 都 能 对 特定 输入 得 到 同一 个 的 结果 。Bloom 过 滤器 的 准确 性 和 私密 性 能 通过 改变 
KE (N) 和 哈 希 函数 的 数量 (M) 来 调节 。 


在 图 8-8 中 ， 我 们 用 一 个 小 型 的 十 六 位 数组 和 三 个 哈 希 函数 来 演示 Bloom 过 滤器 的 应 用 原理 。 


3 Hash Functions 


Hash Functions Output 
1to 16 


Empty Bloom Filter, 16 bit array 
1 2 3 4 5 6 7 8 9 10 11 17 15 14 15 1 


图 8-8 一 个 简单 的 Bloom 过 滤器 的 例子 ， 有 一 个 16 位 的 字段 和 三 个 哈 希 函数 


Bloom 过 滤器 数组 里 的 每 一 个 数 的 初始 值 为 零 。 关 键 词 被 加 到 Bloom 过 滤器 中 之 前 ， 会 依次 通 
过 每 一 个 哈 希 函数 运算 一 次 。 该 输入 经 第 一 个 哈 希 函数 运算 后 得 到 了 一 个 在 1 和 N 之 间 的 数 ， 
它 在 该 数组 (编号 依次 为 1 至 N) 中 所 对 应 的 位 被 置 为 1， 从 而 把 哈 希 函数 的 输出 记录 下 来 。 
接着 再 进行 下 一 个 哈 希 函数 的 运算 ， 把 另 IUE 为 1; 以 此 类 推 。 当 全 部 M 个 哈 希 函数 都 运 
算 过 之 后 ， 一 共有 M 个 位 的 值 从 0 变 成 了 1， 这 个 关键 词 也 被 “记录 "在 了 Bloom 过 滤器 里 。 


图 8-9 显 示 了 向 图 8-8 里 的 简易 Bloom 过 滤器 添加 关键 词 “A”。 


Pattern 







Hash Functions 


图 8-9 向 简易 Bloom 过 滤器 添加 关键 词 *A” 


增加 第 二 个 关键 是 就 是 简单 地 重复 之 前 的 步骤 。 关 键 词 依次 通过 各 哈 希 函数 运算 之 后 ， 相 应 
的 位 变 为 1，Bloom 过 滤器 则 记录 下 该 关键 词 。 需 要 注意 的 是 ， 当 Bloom 过 滤器 里 的 关键 词 增 
ie ， 它 对 应 的 某 个 哈 希 函数 的 输出 值 的 位 可 能 已 经 是 1 了 ， 这 种 情况 下 ， 该 位 不 会 再 次 改 
变 。 也 就 是 说 ， 随 着 更 多 的 关键 词 指向 了 重复 的 位 ，Bloom 过 滤器 随 着 位 1 的 增加 而 饱和 ， 准 


确 性 也 因此 降低 了 。 该 过 滤器 之 所 以 是 基于 概率 的 数据 结构 ， 就 是 因为 关键 词 的 增加 会 导致 
准确 性 的 降低 。 准确 性 取决 于 关键 字 的 数量 以 及 数组 大 小 (N) 和 哈 希 函数 的 多 少 (M) 。 更 
大 的 数组 和 更 多 的 哈 希 函数 会 记录 更 多 的 关键 词 以 提高 准确 性 。 而 小 的 数组 及 有 限 的 哈 布 有 函 
数 只 能 记录 有 限 的 关键 词 从 而 降低 准确 性 。 


图 8-10 显 示 了 向 该 简易 Bloom 过 滤器 里 增加 第 二 个 关键 词 “B”。 


Pattern 
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图 8-10 向 该 简易 Bloom 过 滤器 里 增加 第 二 个 关键 词 “B” 


为 测试 某 一 关键 词 是 否 被 记录 在 某 个 Bloom 过 滤器 中 ， 我 们 将 该 关键 词 逐 一 代入 各 哈 希 函数 中 
运算 ， 并 将 所 得 的 结果 与 原 数 组 进行 对 比 。 如 果 所 有 的 结果 对 应 的 位 都 变 为 了 1， 则 表示 这 个 
关键 词 有 可 能 已 被 该 过 滤器 记录 。 之 所 以 这 一 结论 并 不 确定 ， 是 因为 这 些 字 节 1 也 有 可 能 是 其 
他 关键 词 运算 的 重 梧 结果 。 简 单 来 说 ，Bloom 过 滤器 正 匹 配 代表 着 “可 能 是 "。 图 8-11 是 一 个 验 
证 关键 词 “"X" 是 否 在 前 述 Bloom 过 滤器 中 的 图 例 。 相 应 的 比特 位 都 被 置 为 1， 所 以 这 个 关键 词 很 
有 可 能 是 匹配 的 。 


Is Pattern Included? 
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图 8-11 在 bloom 过 滤器 中 测试 模式 “X” 的 存在 。 结果 是 一 个 概率 正 匹 配 ， 意 思 是 “也 许 ” 


另 一 方面 ， 如 果 我 们 代入 关键 词 计算 后 的 结果 某 位 为 0， 说 明 该 关键 词 并 没有 被 记录 在 过 滤器 
里 。 负 匹配 的 结果 不 是 可 能 ， 而 是 一 定 。 也 就 是 说 ， 负 匹配 代表 着 “一 定 不 是 "。 图 8-12 是 一 
个 验证 关键 词 *Y" 是 否 存 在 于 简 多 Bloom 过 滤器 中 的 图 例 。 图 中 某 个 结果 字段 为 0， 该 字段 一 定 


没有 被 匹配 © 
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Definitely Not! 


图 8-12 在 bloom 过 滤器 中 测试 模式 “Y" 的 存在 。 结果 是 一 个 明确 的 否定 匹配 ， 意 思 是 “绝对 
不 1” 


8.10 SPV? 2217 1% FA Bloom 3 7& 2$ 


Bloom 过 滤器 用 于 过 ee eee 
感 兴 趣 的 交易 ， 而 不 会 泄露 其 感 兴趣 的 地 址 或 密 钥 。 
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SPV 节 点 将 初始 化 “过 滤器 "为 “ 空 ”在 该 状态 下 ，bloom 过 滤器 将 不 匹配 任何 模式 。 然 后 ，SPV 
节点 将 列 出 所 有 感 兴 趣 的 地 址 ， 密 钥 和 散 列 ， 它 将 通过 从 其 钱包 控制 DUO E 信 铀 
哈 希 和 脚本 哈 希 和 交易 ID 来 实现 。SPV 节 点 然后 将 其 中 的 每 一 个 添加 到 Bloom 过 滤器 ， 以 便 
如 果 这 些 模 式 存在 于 交易 中 ， 则 Bloom 过 滤器 将 “匹配 ”， 而 不 会 自动 显示 模式 。 


然后 ，SPV 节 点 将 向 对 等 体 发 送 一 个 过 滤器 加 载 消息 ， 其 中 包含 在 连接 上 使 用 的 bloom 过 滤 
器 。 在 对 等 体 上 ， 针 对 每 个 传 入 交易 检查 Bloom 过 滤器 。 完 整 节点 根据 bloom 过 滤器 检查 交易 
的 几 个 部 分 ， 寻 找 匹 配 ， 包 括 : 

交易 ID 

每 个 交易 输出 的 锁定 脚本 的 数据 组 件 (脚本 中 的 每 个 键 和 哈 希 ) 

每 个 交易 输入 

每 个 输入 签名 数据 组 件 (或 见证 脚本 ) 


通过 检查 所 有 这 些 组 件 ， 可 以 使 用 Bloom 过 滤器 来 匹配 公 铀 哈 希 ， 脚 本 ，OP_RETURN 值 ， 
签名 中 的 公 负 或 智能 合同 或 复杂 脚本 的 任何 未 来 组 件 。 


在 建立 过 滤器 之 后 ， 对 等 体 然后 将 针对 bloom 过 滤器 测试 每 个 交易 的 输出 。 只 有 与 过 滤器 匹配 
的 交易 才 会 发 送 到 节点 


响应 于 来 自 节点 的 getdata 消 息 ， 对 等 体 将 发 送 一 个 merkleblock 消 息 ， 该 消息 仅 包含 与 过 滤器 
PE dite 配 交 易 的 merkle 路 径 (参见 [merkle_trees]) 的 块头 。 然 后 ， 对 等 体 还 将 发 
包含 由 过 滤器 匹配 的 交易 的 tx 消息 。 


由 于 完整 节点 向 SPV 节 点 发 送 交易 ，SPV 节 点 丢弃 任何 误 报 ， 并 使 用 正确 匹配 的 交易 来 更 新 

其 UTXO 集 和 钱包 余额 。 随 着 它 更 新 自己 的 UTXO 集 视图 ， 它 还 会 修改 bloom 过 滤器 ， 以 匹配 
任何 引用 其 刚刚 发 现 的 UTXO 的 交易 o 然后， 完整 节点 使 用 新 的 bloom 过 滤器 来 匹配 新 交易 ， 
并 重复 整个 过 程 。 


设置 bloom 过 滤器 的 节点 可 以 通过 发 送 filteradd 消 息 将 模式 交互 式 添加 到 过 滤器 。 要 清除 
bloom 过 滤器 ， 节 点 可 以 发 送 一 个 过 滤 清 除 消息 。 因 为 不 可 能 从 布局 过 滤器 中 删除 模式 ， 所 以 
如 果 不 再 需要 模式 ， 则 节点 必须 清除 并 重新 发 送 新 的 布 隆 过 滤器 。 


BIP-37 (Peer Services) 中 定义 了 SPV 节 点 的 网 络 协议 和 布 隆 过 滤 机 制 。 


8.11 SPV? & fe IS A 


实现 SPV 的 节点 的 隐私 比 整 个 节点 更 弱 。 完 整 节点 接收 所 有 交易 ， 因 此 不 会 显示 关于 它 的 钱 
包 中 是 否 使 用 某 个 地 址 的 信息 。 SPV 节 点 接收 与 其 钱包 中 的 地 址 相关 的 经 过 过 滤 的 列表 。 结 
果 ， 它 减少 了 所 有 者 的 隐私 。 


bloom 过 滤器 是 减少 隐私 损失 的 一 种 方式 。 没 有 它们 ， d nd 点 将 不 得 不 明确 地 列 出 兴趣 
的 地 址 ， 造 成 严重 的 隐私 违规 。 然 而 ， 即 使 使 用 过 滤器 ， 对 手 监 提 ep i4 
连接 到 它 的 P2P 网 络 中 的 节点 可 以 随时 随地 收集 足够 的 信息 来 了 解 SPV 客 户 端的 钱包 中 的 地 
址 。 


8.127» Z fed) TE 3k dE 
比特 币 的 大 多 数 新 用 户 假设 比特 币 节点 的 网 络 通信 是 加 密 的 。 其 实 ， 比 特 币 的 原始 实现 就 很 
明显 地 完成 了 。 虽 然 这 不 是 完整 节点 的 主要 隐私 问题 ， 但 SPV 节 点 是 一 个 很 大 的 问题 。 


作为 增加 比特 币 P2P 网 络 隐私 和 安全 性 的 一 种 方法 ， 有 两 种 解决 方案 可 以 通过 BIP-150/151 提 
供 通 信 加 密 : Tor 传 输 和 P2P 认 证 和 加 密 。 


8.12.1Tor 网 络 传输 
Tor 代 表 洋 区 路 由 网 络 ， 是 一 个 软件 项 目 和 网 络 ， 通 过 提供 匿名 ， 不 可 追踪 和 隐私 的 随机 网 络 
路 径 提供 数据 的 加 密 和 封装 


Bitcoin Core 提 供 了 多 种 配置 选项 ， 人 允许 您 运行 通过 Tor 网 络 传输 的 流量 的 比特 币 节点 。 此 外 ， 
Bitcoin Core 还 可 以 提供 Tor 隐 藏 服务 ， 允 许 其 他 Tor 节 点 通过 Tor 上 直接 连接 到 您 的 节点 。 


从 Bitcoin Core 版 本 0.12 开 始 ， 如 果 能 够 连接 到 本 地 Tor 服 务 ， 节 点 将 自动 提供 隐藏 的 Tor 服 
务 。 如 果 您 安装 Tor 并 且 Bitcoin Core 进 程 作 为 具有 足够 权限 的 用 户 访问 Tor 认 证 cookie 的 用 户 
运行 ， 则 应 自动 运行 。 使 用 debug 标 志 打 开 Bitcoin Core 对 于 Tor 服 务 的 调试 ， 如 下 所 示 : 


$ bitcoind --daemon --debug=tor 


你 应 该 在 日 志 中 看 到 “tor : ADD_ONION success”， 表 示 Bitcoin Core 已 经 向 Tor 网 络 添加 了 隐 
藏 的 服务 


您 可 以 在 Bitcoin Core 文 档 (docs / tor.md) 和 各 种 在 线 教程 中 找到 有 关 和 运行 Bitcoin Core 作 为 
Tor 隐 藏 服务 的 更 多 说 明 。 


8.12.2 对 等 认证 和 加 gr 


BIP-150 和 BIP-151 两 种 比特 币 改 进 方案 在 比特 币 P2P 网 络 中 增加 了 对 P2P 认 证 和 加 密 的 支 
持 。 这 两 个 BIP 定 义 了 可 由 兼容 的 比特 币 节 点 提供 的 可 选 服务 。BIP-151 启 用 了 支持 BIP-151 
的 两 个 节点 之 间 的 所 有 通信 的 协商 加 密 。 BIP-150 提 供 可 选 的 对 等 认证 ， 人 允许 节 点 使 用 


ECDSA 和 私 钥 对 对 方 的 身份 进行 身份 验证 。BIP-150 要 求 在 认证 之 前 ， 两 个 节点 按照 BIP- 


151 建 立 了 加 密 通 信 。 


截至 2017 年 1 月 ，BIP-150 和 BIP-151 未 在 Bitcoin Core 中 实施 。 但 是 ， 这 两 个 提案 已 由 至 少 一 
个 名 为 bcoin 的 替代 比特 币 客户 端 实 施 。 


BIP-150 和 BlIP-151 人 允许 用 户 运 行 连接 到 受信 任 的 完整 节点 的 SPV 客 户 端 ， 使 用 加 密 和 身份 验 
证 来 保护 SPV 客 户 端的 隐私 。 


此 外 ， 可 以 使 用 身份 验证 来 创建 可 信 比 特 币 节点 的 网 络 ， 并 防止 中 间 人 攻击 。 最 后 ，P2P 加 密 
(如 果 广 泛 部 署 ) 将 加 强 比 特 币 对 流量 分 析 和 隐私 侵权 监控 的 阻力 ， 特 别 是 在 互联 网 使 用 受 
到 严格 控制 和 监控 的 极权 主义 国家 。 


标准 定义 在 BIP-150 (Peer Authentication) and BIP-151 (Peer-to-Peer Communication 
Encryption). 


8.132: 2; i 


比特 币 网 络 中 几乎 每 个 节点 都 会 维护 一 份 未 确认 交易 的 临时 列表 ， 被 称 为 内 存 池 或 交易 池 。 
节点 们 利用 这 个 池 来 追踪 记录 那些 被 网 络 所 知晓 、 但 还 未 被 区 块 链 所 包含 的 交易 。 例 如 ， 保 
存 用 户 钱包 的 节点 会 利用 这 个 交易 池 来 记录 那些 网 络 已 经 接收 但 还 未 被 确认 的 、 属 于 该 用 户 
钱包 的 预支 付 信息 。 


随 着 交易 被 接收 和 了 验证， 它们 被 添加 到 交易 池 并 通知 到 相 邻 节点 处 ， 从 而 传播 到 网 络 中 。 


有 些 节 点 的 实现 还 维护 一 个 单独 的 孤立 交易 池 。 如 果 一 个 交易 的 输入 与 菜 未 知 的 交易 有 关 ， 
如 与 缺失 的 父 交易 相关 ， 该 孤立 交易 就 会 被 暂时 储存 在 孤立 交易 池 中 直到 父 交易 的 信息 到 
ik o 


当 一 个 交易 被 添加 到 交易 池 中 ， 会 同时 检查 孤立 交易 池 ， 看 是 否 有 某 个 孤立 交易 引用 了 此 交 
易 的 输出 〈 子 交易 ) 。 任 何 匹配 的 孤立 交易 会 被 进行 验证 。 如 果 验 证 有 效 ， 它 们 会 从 孤立 交 
易 池 中 删除 ， 并 添加 到 交易 池 中 ， 使 以 其 父 交 易 开 始 的 链 变 得 完整 。 对 新 加 入 交易 池 的 交易 
来 说 ， 它 不 再 是 孤立 交易 。 前 述 过 程 重复 递归 寻找 进一步 的 后 代 ， 直 至 所 有 的 后 代 都 被 找 
到 。 通 过 这 一 过 程 ， 一 个 父 交易 的 到 达 把 整 条 链 中 的 孤立 交易 和 它们 的 父 级 交易 重新 结合 在 
一 起 ， 从 而 触发 了 整 条 独立 交易 链 进 行 级 联 重 构 。 


交易 池 和 孤立 交易 池 (如 有 实施 ) 都 是 存储 在 本 地 内 存 中 ， 并 不 是 存储 在 永久 性 存储 设备 
(如 硬盘 ) 里 。 更 准确 的 说 ， 它 们 是 随 网络 传 入 的 消息 动态 填充 的 。 节 点 启动 时 ， 两 个 池 都 
是 空闲 的 ; 随 着 网 络 中 新 交易 不 断 被 接收 ， 两 个 池 逐 渐 被 A © 

有 些 比 特 币 客户 端的 实现 还 维护 一 个 UTXO 数 据 库 ， 也 称 UTXO 池 ， 是 区 块 链 中 所 有 未 支付 交 


多 输出 的 集合 。"UTXO 池 ” 的 名 字 听 上 去 与 交易 池 相 似 ， 但 它 代表 了 不 同 的 数据 集 。UTXO 池 
不 同 于 交易 池 和 孤立 交易 池 的 地 方 在 于 ， 它 在 初始 化 时 不 为 室 ， 而 是 包含 了 数 以 百 万 计 的 未 


支付 交易 输出 条 目 ， 有 些 条 目的 历史 甚至 可 以 追溯 至 2009 年 。UTXO 池 可 能 会 被 安置 在 本 地 
内 存 ， 或 者 作为 一 个 包含 索引 的 数据 库 表 安置 在 永久 性 存储 设备 中 。 


交易 池 和 孤立 交易 池 代 表 的 是 单个 节点 的 本 地 视角 。 取 决 于 节点 的 启动 时 间或 重启 时 间 ， 不 
同 节点 的 两 池内 容 可 能 有 很 大 差别 。 相 反 地 ，UTXO 池 代表 的 是 网 络 的 突显 共识 ， 因 此 ， 不 
同 节点 间 UTXO 池 的 内 容 差别 不 大 。 此 外 ， 交 易 池 和 孤立 交易 池 只 包含 未 确认 交易 ， 而 UTXO 
池 之 只 包含 已 确认 交易 。 


9.1 简 介 


区 块 链 的 数据 结构 是 由 包含 交易 信息 的 区 块 按照 从 远 及 近 的 顺序 有 序 链接 起 来 的 。 它 可 以 被 
存储 为 平面 文件 (flatfile) ， 或 是 存储 在 一 个 简单 数据 库 中 。 比 特 币 核心 客户 端 使 用 Google 
的 LevelDB 数 据 库存 储 区 块 链 元 数据 。 区 块 被 从 远 及 近 有 序 地 链接 在 这 个 链条 里 ， 每 个 区 块 者 
指向 前 一 个 区 块 。 区 块 链 经 常 被 视 为 一 个 重 直 的 栈 ， 第 一 个 区 块 作为 栈 底 的 首 区 块 ， 随 后 每 
个 区 块 都 被 放置 在 之 前 的 区 块 之 上 。 用 栈 来 形象 化 表示 区 块 依次 堆 重 这 一 概念 后 ， 我 们 便 可 
以 使 用 一 些 术语 ， 例 如 :“ 高 度 "来 表示 区 块 与 首 区 块 之 间 的 距离 ; 以 及 顶部 "或 "顶端 "来 表示 
最 新 添加 的 区 块 。 


对 每 个 区 块头 进行 SHA256 加 密 哈 希 ， 可 生成 一 个 哈 希 值 。 通 过 这 个 哈 希 值 ， 可 以 识别 出 区 块 
链 中 的 对 应 区 块 。 同 时 ， 每 一 个 区 块 都 可 以 通过 其 区 块头 的 “ 父 区 块 哈 希 值 "字段 引用 前 一 区 
BR ( 父 区 块 )。 也 就 是 说 ， 每 个 区 块头 都 包含 它 的 父 区 块 哈 希 值 。 这 样 把 每 个 区 块 链 接 到 各 
自 父 区 块 的 哈 希 值 序列 就 创建 了 一 条 一 直 可 以 追溯 到 第 一 个 区 块 (AIH BIR) 的 链条 。 


虽然 每 个 区 块 只 有 一 个 父 区 块 ， 但 可 以 暂时 拥有 多 个 子 区 块 。 每 个 子 区 块 都 将 同一 区 块 作为 
其 父 区 块 ， 并 且 在 “ 父 区 块 哈 希 值 "字段 中 具有 相同 的 (RRR) 哈 希 值 。 一 个 区 块 出 现 多 个 子 
区 块 的 情况 被 称 为 "区 块 链 分 又 ?。 区 块 链 分 又 只 是 暂时 状态 ， 只 有 当 多 个 不 同 区 块 几乎 同时 被 
不 同 的 矿工 发 现时 才 会 发 生 (参见 "区 块 链 分 又 ") 。 最 终 ， 只 有 一 个 子 区 块 会 成 为 区 块 链 的 一 
部 分 ， 同 时 解决 了 "区 块 链 分 又 "的 问题 。 尽 管 一 个 区 块 可 能 会 有 不 止 一 个 子 区 块 ， 但 每 一 区 块 
只 有 一 个 父 区 块 ， 这 是 因为 一 个 区 块 只 有 一 个 “ 父 区 块 哈 希 值 ?字段 可 以 指向 它 的 唯一 父 区 
块 。 


由 于 区 块头 里 面包 含 * 父 区 块 哈 希 值 ? 字 段 ， 所 以 当前 区 块 的 哈 希 值 也 受到 该 字段 的 影响 。 如 果 
父 区 块 的 身份 标识 发 生变 化 ， 子 区 块 的 身份 标识 也 会 跟着 变化 。 当 父 区 块 有 任何 改动 时 ， 父 
区 块 的 哈 希 值 也 发 生变 化 。 这 将 迫使 子 区 块 的 “ 父 区 块 哈 希 值 "字段 发 生 改 变 ， 从 而 又 将 导致 子 
区 块 的 哈 希 值 发 生 改 变 。 而 子 区 块 的 哈 希 值 发 生 改 变 又 将 迫使 孙 区 块 的 "“ 父 区 块 哈 希 值 " 字 段 发 
生疏 变 ， 又 因此 改变 了 和 孙 区 块 哈 希 值 ， 以 此 类 推 。 一 旦 一 个 区 块 有 很 多 代 以 后 ， 这 种 瀑布 效 
应 将 保证 该 区 块 不 会 被 改变 ， 除 非 强制 重新 计算 该 区 块 所 有 后 续 的 区 块 。 正 是 这 样 的 重新 计 
算 需 要 耗费 巨大 的 计算 量 ， 所 以 一 个 长 区 块 链 的 存在 可 以 让 区 块 链 的 历史 不 可 改变 ， 这 也 是 
比特 币 安全 性 的 一 个 关键 特征 。 


你 可 以 把 区 块 链 想象 成 地 质 构 造 中 的 地 质 层 或 者 是 冰川 岩 芯 样品 。 表 层 可 能 会 随 着 季节 而 变 
化 ， 甚 至 在 沉积 之 前 就 被 风 吹 走 了 。 但 是 越 往 深 处 ， 地 质 层 就 变 得 越 稳定 。 到 了 几 百 英尺 深 
的 地 方 ， 你 看 到 的 将 是 保存 了 数 百 万 年 但 依然 保持 历史 原状 的 岩层 。 在 区 块 链 里 ， 最 近 的 几 
个 区 块 可 能 会 由 于 区 块 链 分 又 所 引发 的 重新 计算 而 被 修改 。 最 新 的 六 个 区 块 就 像 几 英 寸 深 的 
表土 层 。 但 是 ， 超 过 这 六 块 后 ， 区 块 在 区 块 链 中 的 位 置 越 深 ， 被 改变 的 可 能 性 就 越 小 。 在 100 
个 区 块 以 后 ， 区 块 链 已 经 足够 稳定 ， 这 时 Coinbase 交 易 (包含 新 挖 出 的 比特 币 的 交易 ) 可 以 
被 支付 。 几 千 个 区 块 (一 个 月 ) 后 的 区 块 链 将 变 成 确定 的 历史 ， 永 远 不 会 改变 。 


9.2 区 块 结构 


区 块 是 一 种 被 包含 在 公开 账簿 (区 块 链 ) 里 的 聚合 了 交易 信息 的 容器 数据 结构 。 它 由 一 个 包 
含 元 数据 的 区 块头 和 紧 跟 其 后 的 构成 区 块 主体 的 一 长 囊 交 易 列表 组 成 。 区 块头 是 80 字 节 ， 而 
平均 每 个 交易 至 少 是 250 字 节 ， 而 且 平 均 每 个 区 块 至 少 包 含 超过 500 个 交易 。 因 此 ， 一 个 包含 
所 有 交易 的 完整 区 块 比 区 块头 大 1000 倍 。 表 7-1 描 述 了 一 个 区 块 结 构 。 


Size Field Description 
4 bytes Block Size The size of the block, in bytes, following this field 
80 bytes Block Header Several fields form the block header 


1-9 bytes (Varlnt) Transaction Counter How many transactions follow 


Variable Transactions The transactions recorded in this block 


9.3 区 块头 


区 块头 由 三 组 区 块 元 数据 组 成 。 首 先是 一 组 引用 父 区 块 哈 希 值 的 数据 ， 这 组 元 数据 用 于 将 该 
区 块 与 区 块 链 中 前 一 区 块 相连 接 。 第 二 组 元 数据 ， 即 难度 、 时 间 惟 和 nonce， 与 挖 矿 竞争 相 
关 ， 详 见 挖 矿 章 节 。 第 三 组 元 数据 是 merkle 树 根 (一 种 用 来 有 效 地 总 结 区 块 中 所 有 交易 的 数 
据 结 构 ) 。 表 7-2 描 述 了 区 块头 的 数据 结构 。 


Size Field Description 


4 bytes Version A version number to track software/protocol upgrades 


32 bytes Previous Block Hash A reference to the hash of the previous (parent) block in the chain 


32 bytes Merkle Root A hash of the root of the merkle tree of this block's transactions 

4 bytes Timestamp The approximate creation time of this block (seconds from Unix Epoch) 
4 bytes Difficulty Target The Proof-of-Work algorithm difficulty target for this block 

4 bytes Nonce A counter used for the Proof-of-Work algorithm 


Nonce 、 难 度 目标 和 时 间 戳 会 用 于 挖 矿 过 程 ， 更 多 细节 将 在 挖 矿 章节 讨论 。 


9.4 区 块 标识 符 : 区 块头 哈 希 值 和 区 块 高 度 


区 块 主 标 识 符 是 它 的 加 密 哈 希 值 ， 一 个 通过 SHA256 算 法 对 区 块头 进行 二 次 哈 希 计算 而 得 到 的 
数字 指纹 。 产 生 的 32 字 节 哈 硕 值 被 称 为 区 块 哈 希 值 ， 但 是 更 准确 的 名 称 是 : 区 块头 哈 希 值 ， 
为 只 有 区 块头 被 用 于 计算 。 例 

如 :000000000019d6689c085ae165831e934ff763ae46a2a6c172b3f1b60a8ce26f 是 第 一 个 比 
特 币 区 块 的 区 块 哈 硕 值 。 区 块 哈 希 值 可 以 唯一 、 明 确 地 标识 一 个 区 块 ， 并 且 任 何 节点 通过 简 
单 地 对 区 块头 进行 哈 布 计 草 都 可 以 独立 地 获取 该 区 块 哈 希 值 。 


请 注意 ， 区 块 哈 希 值 实际 上 并 不 包含 在 区 块 的 数据 结构 里 ， 不 管 是 该 区 块 在 网 络 上 传输 时 ， 
抑或 是 它 作为 区 块 链 的 一 部 分 被 存储 在 某 节 点 的 永久 性 存储 设备 上 时 。 相 反 ， 区 块 哈 希 值 是 
当 该 区 块 从 网 络 被 接收 时 由 每 个 节点 计算 出 来 的 。 区 块 的 哈 希 值 可 能 会 作为 区 块 元 数据 的 一 
部 分 被 存储 在 一 个 独立 的 数据 库 表 中 ， 以 便于 索引 和 更 快 地 从 磁盘 检索 区 块 。 


第 二 种 识别 区 块 的 方式 是 通过 该 区 块 在 区 块 链 中 的 位 置 ， 即 "区 块 高 度 (block height) " » # 
一 个 区 块 ， 其 区 块 高 度 为 0， 和 之 前 哈 希 值 
000000000019d6689c085ae165831e934ff763ae46a2a6c172b3f1b60a8ce26f 所 引用 的 区 块 
为 同一 个 区 块 。 因 此 ， 区 块 可 以 通过 两 种 方式 被 识别 : 区 块 哈 希 值 或 者 区 块 高 度 。 每 一 个 随 
后 被 存储 在 第 一 个 区 块 之 上 的 区 块 在 区 块 链 中 都 比 前 一 区 块 “高 "出 一 个 位 置 ， 就 像 箱子 一 样 ， 
一 个 接 一 个 堆 登 在 其 他 箱子 之 上 。2017 年 1 月 1 日 的 区 块 高 度 大 约 是 446,000， 说 明 已 经 有 
446,000 个 区 块 被 堆 受 在 2009 年 1 月 创建 的 第 一 个 区 块 之 上 。 


和 区 块 哈 希 值 不 同 的 是 ， 区 块 高 度 并 不 是 唯一 的 标识 符 。 虽 然 一 个 单一 的 区 块 总 是 会 有 一 个 
明确 的 、 固 定 的 区 块 高 度 ， 但 反 过 来 却 并 不 成 立 ， 一 个 区 块 高 度 并 不 总 是 识别 一 个 单一 的 区 
块 。 两 个 或 两 个 以 上 的 区 块 可 能 有 相同 的 区 块 高 度 ， 在 区 块 链 里 争夺 同一 位 置 。 这 种 情况 
在 “区 块 链 分 又 "一 节 中 有 详细 讨论 。 区 块 高 度 也 不 是 区 块 数据 结构 的 一 部 分 ， 它 并 不 被 存储 
在 区 块 里 。 当 节点 接收 来 自 比 特 币 网 络 的 区 块 时 ， 会 动态 地 识别 该 区 块 在 区 块 链 里 的 位 置 
(区 块 高 度 ) 。 区 块 高 度 也 可 作为 元 数据 存储 在 一 个 索引 数据 库 表 中 以 便 快 速 检 索 。 


提示 一 个 区 块 的 区 块 哈 希 值 总 是 能 唯一 地 识别 出 一 个 特定 区 块 。 一 个 区 块 也 总 是 有 特定 的 区 
块 高 度 。 但 是 ， 一 个 特定 的 区 块 高 度 并 不 一 定 总 是 能 唯一 地 识别 出 一 个 特定 区 块 。 更 确切 地 
说 ， 两 个 或 者 更 多 数量 的 区 块 也 许 会 为 了 区 块 链 中 的 一 个 位 置 而 竞争 。 


9.5 创 世 区 块 


区 块 链 里 的 第 一 个 区 块 创 建 于 2009 年 ， 被 称 为 创 世 区 块 。 它 是 区 块 链 里 面 所 有 区 块 的 共同 祖 
先 ， 这 意味 着 你 从 任 一 区 块 ， 循 链 向 后 回溯 ， 了 最 终 都 将 到 达 创 世 区 块 。 因为 创 世 区 块 被 编 入 
到 比特 币 客户 端 软 件 里 ， 所 以 每 一 个 节点 都 始 于 至 少 包 含 一 个 区 块 的 区 块 链 ， 这 能 确保 创 世 
区 块 不 会 被 改变 。 每 一 个 节点 都 “知道 " 创 世 区 块 的 哈 希 值 、 结 构 、 被 创建 的 时 间 和 里 面 的 一 个 
交易 。 因 此 ， 每 个 节点 都 把 该 区 块 作为 区 块 链 的 首 区 块 ， 从 而 构建 了 一 个 安全 的 、 可 信 的 区 
块 链 。 在 chainparams.cpp 里 可 以 看 到 创 世 区 块 被 编 入 到 比特 币 核 心 客户 端 里 。 


创 世 区 块 的 哈 希 值 为 : 


0000000000 1946689c085ae165831693411763ae46a2a6c172b3f1b60a8ce26f 


你 可 以 在 任何 区 块 浏览 网 站 搜索 这 个 区 块 哈 布 值 ， 如 blockchain.info， 你 会 发 现 一 个 描述 这 一 
区 块 内 容 的 页 面 ， 该 页 面 的 链接 包含 了 这 个 区 块 哈 布 值 : 


https://blockchain.info/block/000000000019d6689c085ae165831e934ff763ae46a2a6c172b3 
f1b60a8ce26f 

https://blockexplorer.com/block/O00000000019d6689c085ae165831 e934ff763ae46a2a6c17 
2b3f1b60a8ce26f 


在 命令 行使 用 比特 币 核心 客户 端 


"$ bitcoin-cli getblock 
0000000000194d6689c085ae16583169341f763ae46a2a6c172b3f1b60a8ce26f 


{ "hash" : "000000000019406689c085ae165831693411763ae46a2a6c172b3f1b60a8ce26f", 
"confirmations" : 308321, 

"size" : 285, 

"height" : 0, 

"version" : 1, 

"merkleroot" : 
"4a5e1e4baab89f3a32518a388c31bc871618f76673e2cc77ab2127b7afdeda33b", 

"tx" : ["4a5e1e4baab89f3a32518a388c31bc87f618f176673e2cc77ab2127b7afdeda33b" ], 
"time" : 1231006505, 

"nonce" : 2083236893, 

"bits" : "1dO0ffff", 

"difficulty" : 1.00000000, 

"nextblockhash" : 
"00000000839a866886ab5951d76f411475428afc90947ee320161bbf18eb6048"Y" 


创 世 区 块 包含 一 个 隐藏 的 信息 。 在 其 Coinbase 交 易 的 输入 中 包含 这 样 一 句 话 “The Times 
03/Jan/2009 Chancellor on brink of second bailout forbanks.” 这 句 话 是 泰晤士 报 当 天 的 头 版 文 
章 标 题 ， 引 用 这 名 话 ， 既 是 对 该 区 块 产生 时 间 的 说 明 ， 也 可 视 为 半 开 玩笑 地 提醒 人 们 一 个 独 
立 的 货币 制度 的 重要 性 ， 同 时 告诉 人 们 随 着 比特 币 的 发 展 ， 一 场 前 所 未 有 的 世界 性 货币 革命 
将 要 发 生 。 该 消息 是 由 比特 币 的 创立 者 中 本 联 诬 入 创 世 区 块 中 。 


9.6 区 块 链接 成 为 区 块 链 


比特 币 的 全 节点 在 本 地 保存 了 区 块 链 从 创 世 区 块 起 的 完整 副本 。 随 着 新 的 区 块 的 产生 ， 该 区 
块 链 的 本 地 副本 会 不 断 地 更 新 用 于 扩展 这 个 链条 。 当 一 个 节点 从 网 络 接收 传 入 的 区 块 时 ， 它 
会 验证 这 些 区 块 ， 然 后 链接 到 现 有 的 区 块 链 上 。 为 建立 一 个 连接 ， 一 个 节点 将 检查 传 入 的 区 
块头 并 寻找 该 区 块 的 “ 父 区 块 哈 硕 值 ”。 


让 我 们 假设 ， 例 如 ， 一 个 节点 在 区 块 链 的 本 地 副本 中 有 277,314 个 区 块 。 该 节点 知道 最 后 一 个 
区 块 为 第 277,314 个 区 块 ， 这 个 区 块 的 区 块头 哈 希 值 为 : 


00000000000000027e7ba6fe7bad39faf3b5a83daed765f05f7d1b71a1632249 -° 
然后 该 比特 币 节 点 从 网 络 上 接收 到 一 个 新 的 区 块 ， 该 区 块 描述 如 下 : 
1 


"size" : 43560, 

"version" : 2, 

"previousblockhash" : 
"00000000000000027e7ba6fe7bad39faf3b5a83daed765f05f7d1b71a1632249", 

"merkleroot" : 
"5e0949f4030e0ab2debb92378f53c0a6e09548aea083f3ab25e1d94ea1155e29d", 

"time" : 1388185038, 

"difficulty" : 1180923195.25802612, 

"nonce" : 4215469401, 

SEXA E 
"257e7497fb8bc68421eb2c7b699dbab234831600e7352f0d9e6522c7cf3f6c77", 


[... many more transactions omitted ...] 


"O5cfd38f6ae6aa83674cc99e4d75a1458c165b7ab84725eda41d018a09176634" 


y 
对 于 这 一 新 的 区 块 ， 节 点 会 在 " 父 区 块 哈 希 值 "字段 里 找 出 包含 它 的 父 区 块 的 哈 希 值 。 这 是 节点 
已 知 的 哈 希 值 ， 也 就 是 第 277314 块 区 块 的 哈 希 值 。 故 这 个 新 区 块 是 这 个 链条 里 的 最 后 一 个 区 
块 的 子 区 块 ， 因 此 现 有 的 区 块 链 得 以 扩展 。 节 点 将 新 的 区 块 添加 至 链条 的 尾 端 ， 使 区 块 链 变 
长 到 一 个 新 的 高 度 277,315。 图 9-1 显 示 了 通过 “ 父 区 块 哈 希 值 "字段 进行 连接 三 个 区 块 的 链 。 


Block Height 277316 

Header Hash: 
0000000000000001b6b9a13b095e96db 
41¢4a928b97ef2d944a9b3 1b2cc7bdc4 
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1 
t Previous Block Header Hash: 
0000000000000002a7bbd25a417c0374 
cc55261021e8a9ca74442b01284f0569 


: Timestamp: 2013-12-27 23:11:54 
: Difficulty: 1180923195.26 
: Nonce: 924591752 


: Merkle Root: C91c008c26e50763e9f548bb8b2 
p fc323735f73577effbc55502c51eb4cc7cf2e 
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Block Height 277315 


Header Hash: 
0000000000000002a7bbd25a417c0374 
CC55261021e8a9ca74442b01284f0569 


Pe ee ee en en en ep en en en en ea en em 


1 

t Previous Block Header Hash: 
00000000000000027e7ba6fe7bad39fa 
f3b583daed765f05f7d1b71a1632249 


| Timestamp: 2013-12-27 22:57:18 
! Difficulty: 1180923195.26 
| Nonce: 4215469401 


! Merkle Root: 5e049f4030e0ab2debb92378f5 
a 3c0a6e09548aea083f3ab25e1d94ea1155e29d 
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Block Height 277314 


Header Hash: 
00000000000000027e7ba6fe7bad39fa 
f3b5a83daed765f05f7d1b71a1632249 


Ld 

1 

t Previous Block Header Hash: 
t 00000000000000038388d97cc6f2c1d 

1 fe116c5e879330232f3bff1c645920bdf 
1 
1 


Timestamp: 2013-12-27 22:55:40 
1 Difficulty: 1180923195.26 
| Nonce: 3797028665 


: Merkle Root: 02327049330225d4d17e53e79f 
4. 478dbb79c533509679b148a1505c5697afb326 
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图 9-1 通 过 引用 前 面 的 区 块头 哈 希 连接 成 区 块 链 


9.7 Merkle 树 


区 块 链 中 的 每 个 区 块 都 包含 了 产生 于 该 区 块 的 所 有 交易 ， 且 以 Merkle 树 表示 。 


Merkle 树 是 一 种 哈 希 二 又 树 ， 它 是 一 种 用 作 快 速 归纳 和 校 验 大 规模 数据 完整 性 的 数据 结构 。 
这 种 二 又 树 包含 加 密 哈 希 值 。 术 语 “ 树 "在 计算 机 学 科 中 常 被 用 来 描述 一 种 具有 分 支 的 数据 结 
构 ， 但 是 树 常常 被 倒置 显示 ，“ 根 "在 图 的 上 部 同时 “叶子 "在 图 的 下 部 ， 你 会 在 后 续 章节 中 看 到 
相应 的 例子 。 


在 比特 币 网 络 中 ，Merkle 树 被 用 来 归纳 一 个 区 块 中 的 所 有 交易 ， 同 时 生成 整个 交易 集合 的 数 
字 指 纹 ， 且 提供 了 一 种 校 验 区 块 是 否 存 在 茶 交 易 的 高 效 途 径 。 生 成 一 棵 完整 的 Merkle 树 需要 
递归 地 对 一 对 节点 进行 哈 希 ， 并 将 新 生成 的 哈 希 节点 插入 到 Merkle 树 中 ， 直 到 只 剩 一 个 哈 希 
节点 ， 该 节点 就 是 Merkle 树 的 根 。 在 比特 币 的 Merkle 树 中 两 次 使 用 到 了 SHA256 算法 ， 因 此 
其 加 密 哈 希 算 法 也 被 称 为 double-SHA256 。 


当 NN 个 数据 元 素 经 过 加 密 后 插入 Merkle 树 时 ， 你 至 多 计算 2*log~2~(N) 次 就 能 检查 出 任意 某 数 
据 元 素 是 否 在 该 树 中 ， 这 使 得 该 数据 结构 非常 高 效 。 


Merkle 树 是 自 底 向 上 构建 的 。 在 如 下 的 例子 中 ， 我 们 从 A、B、C、D 四 个 构成 Merkle 树 树叶 的 
交易 开始 ， 如 图 9-2。 
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所 有 的 交易 都 并 不 存储 在 Merkle 树 中 ， 而 是 将 数据 哈 希 化 ， 然 后 将 哈 希 值 存储 至 相应 的 叶子 
节点 。 这 些 叶子 节点 分 别 是 H~A~、H~B~、H~C~ 和 H~D~ : 


图 9-2 计 算 默 克 树 中 的 节点 


HA = SHA256(SHA256(Transaction A)) 


将 相 邻 两 个 叶子 节点 的 哈 希 值 串联 在 一 起 进行 哈 希 ， 这 对 叶子 节点 随后 被 归纳 为 父 节 点 。 全 
如 ， 为 了 创建 父 节 点 H~AB~， 子 节点 A 和 子 节 点 B 的 两 个 32 字 节 的 哈 希 值 将 被 串联 成 64 字 节 
的 字符 串 。 随 后 将 字符 串 进 行 两 次 哈 希 来 产生 父 节 点 的 哈 希 值 


HAB = SHA256(SHA256(H~A~ + H~B-~)) 
继续 类 似 的 操作 直到 只 剩 下 顶部 的 一 个 节点 ， 即 Merkle 根 。 产 生 的 32 字 节 哈 希 值 存储 在 区 块 


头 ， 同 时 归纳 了 四 个 交易 的 所 有 数据 。 图 9-2 展 示 了 如 何 通过 成 对 节点 的 哈 希 值 计 草 Merkle 树 
的 根 。 


因为 Merkle 树 是 二 又 树 ， 所 以 它 需 要 偶数 个 叶子 节点 。 如 果 仅 有 奇数 个 交易 需要 归纳 ， 那 最 
后 的 交易 就 会 被 复制 一 份 以 构成 偶数 个 叶子 节点 ， 这 种 偶数 个 叶子 节点 的 树 也 被 称 为 平衡 
树 。 如 图 9-3 所 示 ，C 节 点 被 复制 了 一 份 。 
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图 9-3 复 制 一 个 数据 元 素 可 以 实现 偶数 个 数据 元 素 


由 四 个 交易 构造 Merkle 树 的 方法 同样 适用 于 从 任意 交易 数量 构造 Merkle 树 。 在 比特 币 中 ， 在 
单个 区 块 中 有 成 百 上 千 的 交易 是 非常 普遍 的 ， 这 些 交易 都 会 采用 同样 的 方法 归纳 起 来 ， 产 生 
一 个 仅仅 32 字 节 的 数据 作为 Merkle 根 。 在 图 9-4 中 ， 你 会 看 见 一 个 从 16 个 交易 形成 的 树 。 需 要 
注意 的 是 ， 尽 管 图 中 的 根 看 起 来 比 所 有 叶子 节点 都 大 ， 但 实际 上 它们 都 是 32 字 节 的 相同 大 
小 。 无 论 区 块 中 有 一 个 交易 或 者 有 十 万 个 交易 ，Merkle 根 总 会 把 所 有 交易 归纳 为 32 字 节 。 
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图 9-4Merkle 树 汇总 了 许多 数据 元 素 


为 了 证 明 区 块 中 存在 某 个 特定 的 交易 ， 一 个 节点 只 需要 计算 log~2~(N) 个 32 字 节 的 哈 希 值 ， 形 
成 一 条 从 特定 交易 到 树 根 的 认证 路 径 或 者 Merkle 路 径 即 可 。 随 着 交易 数量 的 急剧 增加 ， 这 样 

的 计算 量 就 显得 异常 重要 ， 因 为 相对 于 交易 数量 的 增长 ， 以 基底 为 2 的 交易 数量 的 对 数 的 增长 
会 缓慢 许多 。 这 使 得 比特 币 节 点 能 够 高 效 地 产生 一 条 10 或 者 12 个 哈 希 值 (320~384 字 节 ) 的 

路 径 ， 来 证 明了 在 一 个 巨 量 字 节 大 小 的 区 块 中 上 千 交 易 中 的 某 笔 交易 的 存在 。 


在 图 9-5 中 ， 一 个 节点 能 够 通过 生成 一 条 仅 有 4 个 32 字 节 哈 希 值 长 度 (总 128 字 节 ) 的 Merkle 路 
径 ， 来 证 明 区 块 中 存在 一 笔 交 易 K。 该 路 径 有 4 个 哈 希 值 (在 图 9-5 中 由 蓝 色 标 注 ) H~L~、 
H~|J~、H~MNOP~ 和 H~ABCDEFGH~。 由 这 4 个 哈 希 值 产 生 的 认证 路 径 ， 再 通过 计算 另外 四 
对 哈 希 值 H~KL~、H~IJKL~、H~IJKLMNOP~ 和 Merkle 树 根 (在 图 中 由 虚线 标注 ) ， 任 何 节点 
都 能 证 明 H~K~ (在 图 中 由 绿色 标注 ) 包含 在 Merkle 根 中 。 






nm 


HABCDEFGH H HUKLMNOP | 1 


图 9-5 用 于 证 明 包 含 数据 元 素 的 merkle 路 径 


例 7-1 中 的 代码 借用 libbitcoin 库 中 的 一 些 辅助 程序 ， 演 示 了 从 叶子 节点 哈 希 至 根 创 建 整个 
Merkle 树 的 过 程 。 


例 9-1 构造 Merkle 树 


link:code/merkle.cpp[] 


例 9-2 展 示 了 编译 以 及 运行 上 述 代码 后 的 结果 
\# Compile the merkle.cpp code 
$ g++ -o merkle merkle.cpp 
$(pkg-config --cflags --libs libbitcoin) 
\# Run the merkle executable 
$ ./merkle 
Current merkle hash list: 
32650049a0418e4380db0af81788635d8b654244d397 170b8499cdc28c4d27006 
30861db96905c8dc8b99398ca10cd5bd5b84ac3264a4e1b3e65afa1bcee7540c4 
Current merkle hash list: 
d47780c084bad3830bcdaf6eace035e4c6cbf646d103795822104fb105014ba3 
Result: d47780c084bad3830bcdaf6eace035e4c6cbf646d 103795d22104fb105014ba3 


Merkle 树 的 高 效 随 着 交易 规模 的 增加 而 变 得 异常 明显 。 表 9-3 展 示 了 为 了 证 明 区 块 中 存在 某 交 
易 而 所 需 转化 为 Merkle 路 径 的 数据 量 。 


Number of transactions Approx. size of block Path size (hashes) Path size (bytes) 


16 transactions 4 kilobytes 4 hashes 128 bytes 
512 transactions 128 kilobytes 9 hashes 288 bytes 
2048 transactions 512 kilobytes 11 hashes 352 bytes 
65,535 transactions 16 megabytes 16 hashes 512 bytes 


从 表 中 可 以 看 出 ， 当 区 块 大 小 由 16 笔 交易 (AKB) 急剧 增加 至 65,535 笔 交易 (16MB) 时 ， 为 
证 明 交 易 存 在 的 Merkle 路 径 长 度 增长 极其 缓慢 ， 仅 仅 从 128 字 节 到 512 字 节 。 有 了 Merkle 树 ， 
一 个 节点 能 够 仅 下 载 区 块头 (80 字 节 / 区 块 )， 然 后 通过 从 一 个 满 节点 回溯 一 条 小 的 Merkle 路 
径 就 能 认证 一 笔 交 易 的 存在 ， 而 不 需要 存储 或 者 传输 大 量 区 块 链 中 大 多 数 内 容 ， 这 些 内 容 可 
能 有 几 个 G 的 大 小 。 这 种 不 需要 维护 一 条 完整 的 区 块 链 的 节点 ， 又 被 称 作 简单 支付 验证 
(SPV) 节点 ， 它 不 需要 下 载 整个 区 块 而 通过 Merkle 路 径 去 验证 交易 的 存在 。 


9.8 Merkle 树 和 简单 支付 验证 (SPV) 


Merkle 树 被 SPV 节 点 广泛 使 用 。SPV 节 点 不 保存 所 有 交易 也 不 会 下 载 整个 区 块 ， 仅仅 保 存 区 
块头 。 它 们 使 用 认证 路 径 或 者 Merkle 路 径 来 验证 交易 存在 于 区 块 中 ， 而 不 必 下 载 区 块 中 所 有 


例如 ， 一 个 SPV 节 点 想 知 道 它 钱包 中 某 个 比特 币 地 址 即将 到 达 的 支付 。 该 节点 会 在 节点 间 的 
通信 链接 上 建立 起 bloom 过 滤器 ， 限 制 只 接受 含有 目标 比特 币 地 址 的 交易 。 当 对 等 体 探 测 到 某 
交易 符合 bloom 过 滤器 ， 它 将 以 Merkleblock 消 息 的 形式 发 送 该 区 块 。Merkleblock 消 息 包含 区 
块头 和 一 条 连接 目标 交易 与 Merkle 根 的 Merkle 路 径 。SPV 节 点 能 够 使 用 该 路 径 找 到 与 该 交易 
相关 的 区 块 ， 进 而 验证 对 应 区 块 中 该 交易 的 有 无 。SPV 节 点 同时 也 使 用 区 块头 去 关联 区 块 和 
区 块 链 中 的 其 余 区 块 。 这 两 种 关联 ， 交 易 与 区 块 、 区 块 和 区 块 链 ， 就 可 以 证 明 交 易 存 在 于 区 
块 链 。 简 而 言 之 ，SPV 节 点 会 收 到 少 于 1KB 的 有 关 区 块头 和 Merkle 路 径 的 数据 ， 其 数据 量 比 一 
个 完整 的 区 块 (目前 大 约 有 1MB) 少 了 一 千 多 倍 。 


9.9 比 特 币 的 测试 区 块 链 


你 可 能 会 惊讶 地 发 现 ， 有 多 个 比特 币 区 块 链 。2009 年 1 月 3 日 由 Satoshi Nakamoto 创 建 的 “ 主 
要 ”比特 币 块 链 ， 即 本 章 研究 的 创 世 区 块 所 在 的 网 络 ， 被 称 为 主干 网 。 另 外 还 有 其 他 用 于 测试 
的 比特 币 区 块 链 : 现存 的 有 testnet，segnet 和 regtest。 我 们 依次 看 看 每 一 个 。 


9.9.1Testnet——— 比特 币 的 试验 场 


Testnet 是 用 于 测试 的 区 块 链 ， 网 络 和 货币 的 总 称 。testnet 是 一 个 功能 齐全 的 在 线 P2P 网 络 ， 
包括 钱包 ， 测 试 比特 币 (testnet 币 ) ， 控 矿 以 及 类 似 主 干 网 的 所 有 其 他 功能 。 实 际 上 它 和 主 
网 只 有 两 个 区 别 : testnet 币 是 毫 无 价值 的 ， 控 气 难 度 足 够 低 ， 任 何人 都 可 以 相对 容易 地 使 用 
testnet 币 ) 。 


任何 打工 在 比特 币 主干 网 上 用 于 生产 的 软件 开发 都 应 该 首先 在 testnet 上 用 测试 币 进行 测试 。 
这 样 可 以 保护 开发 人 员 免 受 由 于 软件 错误 而 导致 的 金钱 损失 ， 也 可 以 保护 网 络 免 受 由 于 软件 
着 误 导致 的 意外 攻击 。 


然而 ， 保 持 测 试 币 的 无 价值 和 易 挖 气 并 不 容易 。 尽 管 有 来 自 开 发 商 的 呼吁 ， 但 还 是 有 人 使 用 
先进 的 设备 (GPU 和 ASIC) 在 testnet 上 挖 矿 。 这 就 增加 了 难度 ， 使 用 CPU 挖 矿 不 可 能 ， 导 致 
获取 测试 币 非常 困难 ， 以 致 于 人 们 开始 赋予 其 一 定价 值 ， 所 以 测试 币 并 不 是 毫 无 价值 。 结 

果 ， 时 不 时 地 testnet 必 须 被 报废 并 重新 从 创始 区 块 启动 ， 重 新 进行 难度 设置 。 


目前 的 testnet 被 称 为 testnet3， 是 testnet 的 第 三 次 迭代 ， 于 2011 年 2 月 重启 ， 重 置 了 之 前 的 
testnet 网 络 的 难度 。 


请 记 住 ，testnet3 是 一 个 大 区 块 链 ， 在 2017 年 初 超过 20 GB。 完 全 同步 需要 一 天 左右 的 时 间 ， 
并 占用 您 的 计算 机 资源 。 它 不 像 主 干 网 ， 也 不 是 “ 轻 量 级 ”。 运 行 testnet 节 点 的 一 个 好 方法 就 是 
将 其 运行 为 一 个 专用 的 虚拟 机 镜像 〈 例 如 ，VirtualBox * Docker * Cloud Server 等 ) 。 


9.9.1.14# Jl testnet 


像 几乎 所 有 其 他 上 比特 币 软 件 一 样 ，Bitcoin Core 完 全 支持 在 testnet 网 络 运行 而 不 是 只 能 在 主干 
网 上 和 运行， 还 允许 您 进行 测试 币 控 矿 并 运行 一 个 testnet 全 节点 。 


如 果 要 在 testnet 上 启动 Bitcoin Core， 而 不 是 在 主干 网 启动 ， 您 可 以 使 用 testnet 开 关 : 
$ bitcoind -testnet 


在 日 志 中 ， 您 应 该 会 看 到 ，bitcoind 正 在 默认 bitcoind 目 录 的 testnet3 子 目录 中 构建 一 个 新 的 区 
块 链 : 


bitcoind: Using data directory /home/username/.bitcoin/testnet3 
要 连接 bitcoind， 可 以 使 用 bitcoin-cli 命 令 行 工具 ， 但 是 要 记得 切换 到 testnet 模 式 : 
$ bitcoin-cli -testnet getinfo 

{ 

"version": 130200, 

"protocolversion": 70015, 

"walletversion": 130000, 

"balance": 0.00000000, 

"blocks": 416, 

"timeoffset": 0, 

"connections": 3, 

"proxy": "", 

"difficulty": 1, 

"testnet": true, 

"keypoololdest": 1484801486, 

"keypoolsize": 100, 

"paytxfee": 0.00000000, 

"relayfee": 0.00001000, 


"errors": 


} 


您 还 可 以 使 用 getblockchaininfo 命 令 确认 testnet3 区 块 链 的 详细 信息 和 同步 进度 : 
$ bitcoin-cli -testnet getblockchaininfo 

{ 

"chain": "test", 

"blocks": 1088, 

"headers": 139999, 


"bestblockhash": 
"0000000063d29909d475a1c4ba26da64b368e56cce5d925097bf3a2084370128", 


"difficulty": 1, 
"mediantime": 1337966158, 
"verificationprogress": 0.001644065914099759, 


"chainwork": 
"0000000000000000000000000000000000000000000000000000044 104410441", 


"pruned": false, 
"softforks": [ 
[s] 


在 testnet3 上 ， 你 也 可 以 运行 使 用 其 他 语言 和 框架 实现 的 全 节点 来 实验 和 学 习 ， 例 如 btcd (用 
Go 编写 ) 和 bcoin (用 JavaScript 编 写 ) 。 


在 2017 年 初 ，testnet3 支 持 主 网 的 所 有 功能 ， 也 包括 在 主干 网 络 上 尚未 激活 的 隔离 见证 
(Segregated Witness 〈 见 [segw 间 隔离 见证 章节 ) ) 。 因此 ，testnet3 也 可 用 于 测试 隔离 见 
证 功能 。 


9.9.2 Segnet 一 隔离 见 生 测试 网 络 


2016 年 ， 启 动 了 一 个 特殊 用 途 的 测试 网 络 ， 以 帮助 开发 和 测试 隔离 见证 (也 称 为 segwit: 见 
[segwit]) ° 该 测试 区 块 链 称 为 segnet， 可 以 通过 运行 Bitcoin Core 的 特殊 版 本 (分支) 来 连 
接 。 


由 于 已 经 将 segwit 添 加 到 testnet3 中 ， 因 此 后 来 不 再 使 用 segnet 来 测试 Segwit 功 能 。 


在 将 来 ， 我 们 可 能 会 看 到 其 他 专门 用 寺 测 试 单个 功能 或 主要 架构 更 改 (如 segnet) 的 测试 网 
络 区 块 链 。 


9.9.3 Regtest-- 本 地 区 块 链 


Regtest 代 表 “ 回 归 测 试 ”， 是 一 种 比特 币 核心 功能 ， 允 许 您 创建 本 地 区 块 链 以 进行 测试 。 与 
testnet3 ( 它 是 一 个 公共 和 共享 的 测试 区 块 链 ) 不 同 ，regtest 区 块 链 旨 在 作为 本 地 测试 的 封闭 
系统 运行 。 您 从 头 开始 启动 regtest 区 块 链 ， 创 建 一 个 本 地 的 创 世 区 块 。 您 可 以 将 其 他 节点 添 
加 到 网 络 中 ， 或 者 使 用 单个 节点 运行 它 来 测试 Bitcoin Core 软 件 。 


要 在 regtest 模 式 下 启动 Bitcoin Core， 您 可 以 使 用 regtest 标 志 : 
$ bitcoind -regtest 


就 像 使 用 testnet 一 样 ，Bitcoin Core 将 在 bitcoind 默 认 目 录 的 regtest 子 目录 下 初始 化 一 个 新 的 
区 块 链 : 


bitcoind: Using data directory /home/username/.bitcoin/regtest 


要 使 用 命令 行 工 具 ， 还 需要 指定 regtest 标 志 。 我 们 来 试 试 getblockchaininfo 命 令 来 检查 
regtest 区 块 链 : 

$ bitcoin-cli -regtest getblockchaininfo 

{ "chain": "regtest", 

"blocks": 0, 


"headers": 0, 


"bestblockhash": 
"0f9188f13cb7b2c7112a335e3a4fc328bf5bbeb436012afca590b1a11466e2206", 


"difficulty": 4.656542373906925e-10, 
"mediantime": 1296688602, 
"verificationprogress": 1, 


"chainwork": 
"000000000000000000000000000000000000000000000000000000000000000?2", 


"pruned": false, 

[…] 

你 可 以 看 到 ， 还 没有 任何 区 块 。 让 我 们 开始 挖 一 些 〈500 块 ) ， 赚 取 奖 励 : 

$ bitcoin-cli -regtest generate 500 

[ "7afed70259f22c2bf11e406cb12ed5c0657b6e16a6477a9f8b28e2046b5ba1ca", 


"1aca21154a80a9863a9aac4c72047a6d3f385c4eec5441a4aafa6acaa1dada14", 


"A334ecf6fbO22f30fbd764c3ee778fabbd53b4a4d1950eae8a91f1f5158ed2d1", 
"5f951d34065efeaf64e54e91d00b260294fcdfc7f05dbb5599aec84b957a7706", 
"43744b5e77c1dfece9d05ab5f0e6796ebe627303163547669e27f55d0f2b9353", 
[...] 
"6c31585a48d4fc2b3fd25521f4515b18aefb59d0def82bd9c2185c4ecb754327" 


] 


客气 所 有 这 些 块 只 需要 几 秒 钟 ， 这 样 就 可 以 很 容易 地 进行 测试 。 如 果 您 检查 您 的 钱包 余额 ， 
您 将 看 到 您 获得 了 前 400 个 区 块 的 奖励 (Coinbase 的 奖励 必须 挖 满 100 块 之 后 才能 花费 ) 


$ bitcoin-cli -regtest getbalance 


12462.50000000 


9.10 使 用 测试 块 链 进行 开发 


Bitcoin 的 各 种 区 块 链 (regtest > segnet ，testnet3， 以 及 主干 网 ) 为 比特 币 开 发 提供 了 一 系列 
测试 环境 。 无论 您 是 开发 比特 币 核心 还 是 另 一 个 全 节点 共识 客户 端 ， 诸 如 钱包 ， 交 易 所 ， 电 
子 商 务 网 站 等 应 用 程序 ， 其 至 开发 新 疾 的 智能 合同 和 复杂 的 脚本 等 等 ， 请 使 用 测试 区 块 链 网 
进行 开发 。 


您 可 以 使 用 测试 区 块 链 来 建立 开发 管道 。 在 开发 它 时 ， 建 议 在 本 地 测试 代码 。 一旦 您 准备 好 
在 公共 网 络 上 尝试 ， 请 切换 到 testnet， 将 您 的 代码 暴露 在 更 加 动态 的 环境 中 ， 并 提供 更 多 样 
化 的 代码 和 应 用 程序 。 最 后 ， 一 旦 您 确信 您 的 代码 正常 工作 ， 请 切换 到 主 网 以 实现 生产 部 
署 。 当 您 进行 变更 ， 改 进 ， 错 误 修复 等 操作 时 ， 再 次 启动 这 个 开发 管道 ， 首先 在 regtest 上 部 
署 每 个 变更 ， 然 后 在 testnet 上 进行 测试 ， 最 后 实现 生产 。 


10.1 简介 


“ 挖 矿 " 这 个 词 有 点 误导 。 一 般 意 义 的 挖 矿 类 似 贵 金属 的 提取 ， 更 多 将 人 们 的 注意 力 集中 到 创 
造 每 个 区 块 中 获得 的 奖励 。 虽 然 挖 矿 能 够 获得 这 种 奖励 作为 激励 ， 但 挖 矿 的 主要 目的 不 是 这 

个 奖励 或 者 产生 新 币 。 如 果 您 只 是 把 挖 矿 视 为 创建 新 币 的 过 程 ， 则 会 将 比特 币 系 统 中 的 这 个 
a (激励 ) 作为 挖 矿 过 程 的 目标 。 挖 矿 最 重要 的 作用 是 巩固 了 去 中 心 化 的 清算 交易 机 制 ， 
通过 这 种 机 制 ， 交 易 得 到 验证 和 清算 /清除 。 挖 矿 是 使 得 比特 币 与 众 不 同 的 发 明 ， 它 实现 去 中 
心 化 的 安全 机 制 ， 是 P2P 数 字 货 币 的 基础 。 


挖 矿 确保 了 比特 币 系统 安全 ， 并 且 在 没有 中 央 权力 机 构 的 情况 下 实现 了 全 网 络 范围 的 共识 。 
新 币 发 行 和 交易 费 的 奖励 是 将 矿工 的 行动 与 网 络 安全 保持 一 致 的 激励 计划 ， 同 时 实现 了 货币 
发 行 。 

提示 : 挖 矿 的 目的 不 是 创造 新 的 比特 币 。 这 是 激励 机 制 。 挖 矿 是 一 种 机 制 ， 这 种 机 制 实现 了 
去 中 心 化 的 安全 。 


矿工 们 验证 每 笔 新 的 交易 并 把 它们 记录 在 总 Wo 每 10 分 钟 就 会 有 一 个 新 的 区 块 被 “ 挖 握 ”出 
来 ， 每 个 区 块 里 包含 着 从 上 一 个 区 块 产生 到 目前 这 段 时 间 内 发 生 的 所 有 交易 ， 这 些 交 易 被 依 
Rr M D EN 多 称 为 “ 确 

W” (confirmed) 交易 ， 交 易 经 过 确认" 之后， 新 的 拥有 者 才能 够 花费 他 在 交易 中 得 到 的 比特 
fio 


矿工 们 在 挖 矿 过 程 中 会 得 到 两 种 类 型 的 奖励 : 创建 新 区 块 的 新 币 奖 励 ， 以 及 区 块 中 所 含 交易 
的 交易 费 。 为 了 得 到 这 些 奖 励 ， 矿 工 们 争 相 完成 一 种 基于 加 密 哈 希 算法 的 数学 难题 ， 这些 难 
题 的 答案 包括 在 新 区 块 中 ， 作 为 矿工 的 计算 工作 量 的 证 明 ， 被 称 为 “工作 量 证 明 ”。 该 算法 的 
竞争 机 制 以 及 获胜 者 有 权 在 区 块 链 上 进行 交易 记录 的 机 制 ， 这 二 者 是 比特 币 安全 的 基石 。 


新 比特 币 的 生成 过 — , 。 它 的 奖励 机 制 被 设计 为 速度 递减 模式 ， 类 似 于 贵重 
金属 的 挖 矿 过 程 。 比 特 币 的 货 过 挖 矿 发 行 的 ， 类 似 于 中 央 银 行 通过 印刷 银行 纸币 来 发 
ea 
块 ) 减少 一 半 。 开 始 时 为 2009 年 1 月 每 个 区 块 奖励 50 个 比特 币 ， 然 后 到 2012 年 11 月 减 半 为 每 
个 区 块 奖励 25 个 比特 币 。 之 后 在 2016 年 7 月 再 次 减 半 为 每 个 新 区 块 奖励 12.5 个 比特 币 。 基 于 
这 个 公 式 ， 比 特 币 挖 矿 奖励 以 指数 方式 递减 ， 直 到 2140 年 。 届 时 所 有 的 比特 币 
(20,999,999,980) 全 部 发 行 完 毕 。 换 和 句 话说 在 2140 年 之 后 ， 不 会 再 有 新 的 比特 币 产生 。 


矿工 们 同时 也 会 获取 交易 费 。 每 笔 交 易 都 可 能 包含 一 笔 交 易 费 ， 交 易 费 是 每 笔 交 易 记 录 的 输 
入 和 输出 的 差额 。 dida 程 中 成 功 " 挖 出 "新 区 块 的 矿工 可 以 得 到 该 区 块 中 包含 的 所 有 交 
钨 "小费 "。 目 前 ， 这 笔 费 用 占 矿工 收入 的 0.5% 或 更 少 ， 大 部 分 收益 仍 来 自 挖 矿 所 得 的 比特 币 
奖励 。 然 而 随 着 挖 矿 奖励 的 递减 ， 以 及 每 个 区 块 中 包含 的 交易 数量 增加 ， 交 易 费 在 矿 工 收益 
中 所 占 的 比重 将 会 逐渐 增加 。 在 2140 年 之 后 ， 所 有 的 矿工 收益 都 将 由 交易 费 构成 。 


在 本 章 中 ， 我 们 先 来 审视 比特 币 的 货币 发 行 机 制 ， 然 后 再 来 了 解 挖 矿 的 最 重要 的 功能 : 支撑 
比特 币 安全 的 去 中 心 化 的 共识 机 制 。 


为 了 了 解 近 矿 和 共识 ， 我 们 将 跟随 Alice 的 交易 ， 以 及 上 海 的 矿工 Jing 如 何 收 到 并 利用 挖 矿 设 
备 将 交易 加 入 区 块 。 然后， 我 们 将 继续 跟踪 区 块 被 挖 矿 ， 加 入 区 块 链 ， 并 通过 共识 被 比特 币 
网 络 接受 。 


10.1.1 比特 币 经 济 学 和 货币 创造 


通过 创造 出 新 区 块 ， 比 特 币 以 一 个 确定 的 但 不 断 减 慢 的 速率 被 铸造 出 来 。 大 约 每 十 分 钟 产 生 
一 个 新 区 块 ， 每 一 个 新 区 块 都 伴随 着 一 定数 量 从 无 到 有 的 全 新 比特 币 。 每 开采 210,000 个 块 ， 
大 约 耗 时 4 年 ， 货 币 发 行 速率 降低 50%。 在 比特 币 运 行 的 第 一 个 四 年 中 ， 每 个 区 块 创造 出 50 
个 新 比特 币 。 


2012 年 11 月 ， 比 特 币 的 新 发 行 速度 降低 到 每 区 块 25 个 比特 币 。2016 年 7 月 ， 降 低 到 12.5 比 特 
币 / 区 块 。2020 年 的 某 个 时 候 ， 也 就 是 在 区 块 630,000， 它 将 再 次 下 降 至 6.25 比 特 币 。 新 币 的 
发 行 速度 会 以 指数 级 进行 32 次 "等 分 "”， 直 到 第 6,720,000 块 (大约 在 2137 年 开采 ) ， 达 到 比特 
币 的 最 小 货币 单位 1 satoshi » 最 终 ， 在 经 过 693 万 个 区 块 之 后 ， 所 有 的 共 
2,099,999,997,690,000 陪 比特 币 将 全 部 发 行 完毕 。 也 就 是 说 ， 到 2140 年 左右 ， 会 存在 接近 
2,100 万 比特 币 。 在 那 之 后 ， 新 的 区 块 不 再 包含 比特 币 奖励 ， 矿 工 的 收益 全 部 来 自 交 易 费 。 图 
10-1 展 示 了 在 发 行 速度 不 断 降 低 的 情况 下 ， 比 特 币 总 流通 量 与 时 间 的 关系 。 
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注意 : 比特 币 挖 矿 发 行 的 最 大 数量 也 就 成 为 控 矿 奖励 的 上 限 。 在 实践 中 ， 矿 工 可 能 故意 挖掘 
哪些 不 足 全 额 奖 励 的 区 块 。 这 些 块 已 经 开采 了 ， 未 来 可 能 会 有 更 多 被 开采 ， 这 样 导 致 货币 发 
行 总 量 的 下 降 Q 


在 例 10-1 的 代码 展示 中 ， 我 们 计算 了 比特 币 的 总 发 行 量 


410-1 比特 币 发 行 总 量 的 计算 脚本 


link:code/max money.py[] 


Running the max money.py script 说 明了 运行 脚本 的 输出 结果 


例 10-2 显示 上 述 脚本 的 输出 


$ python max money.pyTotal BTC to ever be created: 2099999997690000 Satoshis 


总 量 有 限 并 且 发 行 速度 递减 创造 了 一 种 抗 通胀 的 货币 供应 模式 。 法 币 可 被 中 央 银 行 无 限制 地 
印刷 出 来 ， 而 比特 币 永 远 不 会 因 超 额 印 发 而 出 现 通胀 。 


最 重要 并 且 最 有 争议 的 一 个 结论 是 一 种 事先 确定 的 发 行 速率 递减 的 货币 发 行 模式 会 导致 货币 
we 币 的 供应 和 需求 不 匹配 导致 的 货币 增值 的 现象 。 
它 与 通胀 相反 ， 价 格 通缩 意味 着 货币 随 着 时 间 有 越 来 越 强 的 购买 力 。 


许多 经 济 学 家 提出 通缩 经 济 是 一 种 无 论 如 何 都 要 避免 的 灾难 型 经 济 。 因 为 在 快速 通缩 时 期 ， 
人 们 预期 着 商品 价格 会 下 跌 ， 人 们 将 会 储存 货币 ， 避 免 花 掉 它 。 这 种 现象 充 矿 了 日 本 经 济 “ 失 
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过 去 出 现 的 一 个 特例 。 在 法 币 届 ， 货 币 是 有 可 能 被 无 限制 印刷 出 来 的 ， 除 非 遇 到 需求 完 
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塌 引 起 的 ， 它 遵循 一 种 预定 且 有 节制 的 货币 供应 模型 。 


通货 紧缩 的 积极 因素 当然 是 膨胀 相反 。 通货 膨胀 导致 货币 缓慢 但 不 可 避免 的 贬值 ， 这 
Fe APE AIL TG RA > BG E UU. 实现 解救 债务 人 ( 包括 政府 这 个 最 大 的 债 
BA) 。 政 府 控制 下 的 货币 容易 遭受 债务 发 行 的 道德 风险 ， 之 后 可 能 会 以 牺牲 储蓄 者 为 代 
价 ， 通 过 贬值 来 抹 去 债务 。 


比特 币 这 种 不 是 因 经 济 快速 衰退 而 引起 的 通缩 ， 是 否 会 引发 其 他 问题 ， 仍 有 待 观察 。 


10.2 去 中 心 化 共识 


在 上 一 章 中 我 们 了 解 了 区 块 链 。 可 以 将 区 块 链 看 作 一 本 记录 所 有 交易 的 公开 总 帐 簿 ( 列 
A) ， 比 特 币 网 络 中 的 每 个 参与 者 都 把 能 接受 区 块 链 ， 把 它 看 作 一 本 证 明 所 有 权 的 权威 记 
录 o 


但 在 不 考虑 相信 任何 人 的 情况 下 ， 比 特 币 网 络 中 的 所 有 参与 者 如 何 达成 对 任意 一 个 所 有 权 的 
共识 呢 ?所 有 的 传统 支付 系 统 都 依赖 于 一 个 中 心 认 证 机 构 ， 依 靠 中 心机 构 提供 的 结算 服务 来 
验证 并 处 理 所 有 的 交易 。 比 特 币 没有 中 心机 构 ， 几 乎 所 有 的 完整 节点 都 有 一 份 公共 总 帐 的 备 
份 ， 这 份 总 帐 可 以 被 视 为 权威 记录 。 区 块 链 并 不 是 由 一 个 中 心机 构 创 造 的 ， 它 是 由 比特 币 网 
络 中 的 所 有 节点 各 自 独立 竞争 完成 的 。 换 和 句 话说 比特 币 网 络 中 的 所 有 节点 ， 依 靠 着 节点 间 的 
不 稳定 的 网 络 连 接 所 传输 的 信息 ， 最 终 得 出 同样 的 结果 并 维护 了 同一 个 公共 总 帐 。 这 一 章 将 
介绍 比特 币 网 络 不 依靠 中 心机 构 而 达成 共识 的 机 制 。 


中 本 聪 的 主要 发 明 就 是 这 种 去 中 心 化 的 自发 共识 (emergent consensus) 机 制 。 这 种 自发 ， 
是 指 共 识 没 有 明确 的 完成 点 ， 因 为 共识 达成 时 ， 没 有 明确 的 选举 和 国定 时 刻 。 换 名 话说 ， 共 
识 是 数 以 千 计 的 独立 节点 遵守 了 简单 的 规则 通过 异步 交互 自发 形成 的 产物 。 所 有 的 比特 币 属 
性 ， 包 括 货币 、 交 易 、 支 付 以 及 不 依靠 中 心机 构 和 信任 的 安全 模型 等 都 依赖 于 这 个 发 明 。 
比特 币 的 去 中 心 化 共识 由 所 有 网 络 节点 的 4 种 独立 过 程 相互 作用 而 产生 : 

D> 每 个 全 节点 依据 综合 标准 对 每 个 交易 进行 独立 验证 

[> 通过 完成 工作 量 证 明 算法 的 验算 ， 挖 矿 节 点 将 交易 记录 独立 打包 进 新 区 块 

D- 每 个 节点 独立 的 对 新 区 块 进行 校 验 并 组 装 进 区 块 链 

D» 每 个 节点 对 区 块 链 进行 独立 选择 ， 在 工作 量 证 明 机 制 下 选择 累计 工作 量 最 大 的 区 块 链 。 


在 接 下 来 的 几 节 中 ， 我 们 将 审视 这 些 过 程 ， 了 解 它 们 之 间 如 何 相互 作用 并 达成 全 网 的 自发 共 
识 ， 从 而 使 任意 节点 组 合 出 它 自 己 的 权威 、 可 信 、 公 开 的 总 帐 副 本 。 


10.3 交易 的 独立 校 验 


在 第 6 章 交 易 中 ， 我 们 知道 了 钱包 软件 通过 收集 UTXO、 提 供 正 确 的 解锁 脚本 、 构 造 一 个 新 的 
支出 (支付) 给 接收 者 这 一 系列 的 方式 来 创建 交易 。 产 生 的 交易 随后 将 被 发 送 到 比特 币 网 络 
临近 的 节点 ， 从 而 使 得 该 交易 能 够 在 整个 比特 币 网 络 中 传播 。 


然而 ， 在 交易 传递 到 临近 的 节点 前 ， 每 一 个 收 到 交易 的 比特 币 节点 将 会 首先 验证 该 交易 ， 这 
将 确保 只 有 有 效 的 交易 才 会 在 网 络 中 传播 ， 而 无 效 的 交易 将 会 在 第 一 个 节点 处 被 废弃 。 


每 一 个 节点 在 校 验 每 一 笔 交 易 时 ， 都 需要 对 照 一 个 长 长 的 标准 列表 : 

户 交 易 的 语法 和 数据 结构 必须 正确 。 

户 输入 与 输出 列表 都 不 能 为 空 。 

户 交 易 的 字 节 大 小 是 小 于 MAX BLOCK SIZE 的 。 

区 每 一 个 输出 值 ， 以 及 总 量 ， 必 须 在 规定 值 的 范围 内 (小 于 2,100 万 个 币 ， 大 于 0) ° 


户 没 有 哈 希 等 于 0，N 等 于 -1 的 输入 (coinbase 交 易 不 应 当 被 传递 ) © 


nLockTime 是 小 于 或 等 于 INT. MAX 的 。 或 者 nLocktime and nSequence 的 值 满足 
MedianTimePast ( 译 者 注 : MedianTime 是 这 个 块 的 前 面 11 个 块 按照 block time 排 序 后 的 中 间 
时 间 ) 


户 交 易 的 字 节 大 小 是 大 于 或 等 于 100 的 。 
户 交 易 中 的 签名 数量 (SIGOPS) 应 小 于 签名 操作 数量 上 限 。 


DARA BPA. ( scriptSig ) 只 能 够 将 数字 压 入 栈 中 ， 并 且 锁 定 脚本 ( scriptPubkey ) 必须 要 符 
合 isStandard 的 格式 (该 格式 将 会 拒绝 非 标 准 交易 ) 。 


户 池 中 或 位 于 主 分 支 区 块 中 的 一 个 匹配 交易 必须 是 存在 的 。 
户 对 于 每 一 个 输入 ， 引 用 的 输出 是 必须 存在 的 ， 并 且 没 有 被 花费 。 


户 对 于 每 一 个 输入 ， 如 果 引 用 的 输出 存在 于 池 中 任何 别 的 交易 中 ( 译 者 注 : 这 笔 输入 引用 的 输 
出 有 人 家 自己 的 输入 ， 不 是 你 ) ， 该 交易 将 被 拒绝 。 


这 对 于 每 一 个 输入 ， 在 主 分 支 和 交易 池 中 寻找 引用 的 输出 交易 。 如 果 输 出 交易 缺少 任何 一 个 输 
入 ， 该 交易 将 成 为 一 个 孤 立 的 交易 。 如 果 与 其 匹配 的 交易 还 没有 出 现在 池 中 ， 那 么 将 被 加 入 
到 孤立 交易 池 中 。 


必 对 于 每 一 个 输入 ， 如 果 引 用 的 输出 交易 是 一 个 coinbase 输 出 ， 该 输入 必须 至 少 获得 
COINBASE_MATURITY(100) 个 确认 。 


户 使 用 引用 的 输出 交易 获得 输入 值 ， 并 检查 每 一 个 输入 值 和 总 值 是 否 在 规定 值 的 范围 内 (小 
于 2100 万 个 币 ， 大 于 0) 。 


忆 如 果 输 入 值 的 总 和 小 于 输出 值 的 总 和 ， 交 易 将 被 中 止 。 
这 如 果 交 易 费 用 太 低 以 至 于 无 法 进入 一 个 空 的 区 块 ， 交 易 将 被 拒绝 。 
> 每 一 个 输入 的 解锁 脚本 必须 依据 相应 输出 的 锁定 脚本 来 验证 。 


这 些 条 件 能 够 在 比特 币 标准 客户 端 下 的 AcceptToMemoryPool 、CheckTransaction 和 
Checklnputs 函数 中 获得 更 详细 的 益 述 。 请 注意 ， 这 些 条 件 会 随 着 时 间 发 生变 化 ， 为 了 处 理 
新 型 拒绝 服务 攻击 ， 有 时 候 也 为 交易 类 型 多 样 化 而 放宽 规则 。 


在 收 到 交易 后 ， 每 一 个 节点 都 会 在 全 网 广播 前 对 这 些 交 易 进行 独立 校 验 ， 并 以 接收 时 的 相应 
顺序 ， 为 有 效 的 新 交易 建立 一 个 验证 池 (还 未 确认 ) ， 这 个 池 可 以 叫做 交易 池 ， 或 者 nemory 
pool 或 者 mempool ° 


10.4 455 F A 


在 比特 币 网 络 中 ， 一 些 节 点 被 称 为 专业 节点 “矿工 *。 第 1 章 中 ， 我 们 介绍 了 Jing， 在 中 国 上 海 
的 计算 机 工程 专业 学 生 ， 他 就 是 一 位 矿工 。Jing 通 过 矿 机 挖 矿 获得 比特 币 ， 矿 机 是 专门 设计 
用 于 挖 比特 币 的 计算 机 硬件 系统 。Jing 的 这 台 专 业 挖 矿 设 备 连 接着 一 个 运行 完整 比特 币 节点 的 
服务 器 。 与 Jing 不 同 ， 一 些 矿 工 是 在 没有 完整 节点 的 条 件 下 进行 挖 矿 ， 正 如 我 们 在 “ 矿 池 ”一 节 
中 所 述 的 。 Too o 点 相同 ，Jing 的 节点 在 比特 币 网 络 中 进行 接收 和 传播 未 确认 交易 
记录 。 然 而 ，Jing 的 节点 也 能 够 把 这 些 交易 记录 打包 进入 一 个 新 区 块 。 


同 其 他 节点 一 样 ，Jing 的 节点 时 刻 监听 着 传播 到 比特 币 网 络 的 新 区 块 。 而 这 些 新 加 入 的 区 块 对 
挖 矿 节点 有 着 特殊 的 意 义 。 矿 工 间 的 竞争 以 新 区 块 的 传播 而 结束 ， 如 同 宣布 谁 是 最 后 的 赢 
家 。 对 于 矿工 们 来 说 ， 收 到 一 个 新 区 块 进 行 验证 意味 着 别人 已 经 赢 了 ， 而 自己 则 输 了 这 场 竞 
争 。 然 而 ， 一 轮 竞争 的 结束 也 代表 着 下 一 轮 竞争 的 开始 。 新 区 块 并 不 仅仅 是 象征 着 竟 赛 结 

的 方 格 旗 ; 它 也 是 下 一 个 区 块 竞赛 的 发 令 枪 。 


10.5 打包 交 多 至 区 块 


验证 交易 后 ， 比 特 币 节点 会 将 这 些 交 易 添 加 到 自己 的 内 存 池 中 。 内 存 池 也 称 作 交 易 池 ， 用 来 
暂 存 尚未 被 加 入 到 区 块 的 交 易 记 录 。 与 其 他 节点 一 样 ，Jing 的 节点 会 收集 、 验 证 并 传递 新 的 
交易 。 而 与 其 他 节点 不 同 的 是 ，Jing 的 节点 会 把 这 些 交 易 整 合 到 一 个 候选 区 块 中 。 


让 我 们 继续 跟 进 ， 看 下 Alice 从 Bob 咖 啡 店 购买 咖啡 时 产生 的 那个 区 块 。Alice 的 交易 在 区 块 
277,316。 为 了 演示 本 章 中 提 到 的 概念 Be o a 系统 挖 出 的 ， 并 且 
续 跟 进 Alice 的 交易 ， 因 为 这 个 交易 已 经 成 为 了 新 区 块 的 一 部 分 


Jing 的 挖 矿 节点 维护 了 一 个 区 块 链 的 本 地 副本 。 当 Alice 买 咖啡 的 时 候 ，Jing 节 点 的 区 块 链 已 
经 收集 到 了 区 块 277,314， 并 继续 监听 着 网 络 上 的 交易 ， 在 尝试 挖掘 新 区 块 的 同时 ， 也 监 vp 
由 其 他 节点 发 现 的 区 块 。 当 Jing 的 节点 在 挖 矿 时 ， 它 从 比特 币 网 络 收 到 了 区 块 277,315。 这 个 
区 块 的 到 来 标志 着 终 结 了 产 出 区 块 277,315 竞 赛 ， 与 此 同时 也 是 产 出 区 块 277,316 竞 赛 的 开 
始 。 


在 上 一 个 10 分 钟 内 ， 当 Jing 的 节点 正在 寻找 区 块 277,315 的 解 的 同时 ， 它 也 在 收集 交易 记录 为 
下 一 个 区 块 做 准备 。 目 前 它 已 经 收 到 了 几 百 笔 交 易 记录 ， 并 将 它们 放 进 了 内 存 池 。 直 到 接收 
并 验证 区 块 277,315 后 ，Jing 的 节点 会 检查 内 存 池 中 的 全 部 交易 ， 并 移 除 已 经 在 区 块 277,315 
中 出 现 过 的 交易 记录 ， 确 保 任何 留 在 内 存 池 中 的 交易 都 是 未 确认 的 ， 等 待 被 记 录 到 新 区 块 
中 。 


Jing 的 节点 立刻 构建 一 个 新 的 空 区 块 ， 做 为 区 块 277,316 的 候选 区 块 。 称 作 候选 区 块 是 因为 它 
还 没有 包 AA NE 证 明 ， 不 是 一 个 有 效 的 区 块 ， 而 只 有 在 矿工 成 功 找到 一 个 工作 量 证 
明 解 之 后 ， 这 个 区 块 才 生 效 。 


现在 ，Jing 的 节点 从 内 存 池 中 整合 到 了 全 部 的 交易 ， 新 的 候选 区 块 包含 有 418 笔 交易 ， 总 的 矿 
工 费 为 0.09094925 个 比特 币 。 你 可 以 通过 比特 币 核心 客 户 端 命 令 行 来 查看 这 个 区 块 ， 如 例 
10-3 所 示 : 


S 


1110-3 使 用 命令 行 检索 区 块 277,316 


$ bitcoin-cli get blockhash 277316 
0000000000000001b6b9a13b095e96db41c4a928b97ef2d944a9b31b2cc7bdc4 


$ bitcoin-cli getblock 0000000000000001b6b9a13b095e96db41c4a928b97ef2d9N44a9b31b2cc7bd 
c4 


{ 
"hash" : "0000000000000001b6b9a13b095e96db41c4a928b97ef2d944a9b31b2cc7bdc4", 


"confirmations" : 35561, 


"size" : 218629, 


"height" : 277316, 


"version" : 2, 


"merkleroot" : "c91c008c266e50763e9f548bb8b2fc323735f 73577effbc55502c51eb4cc7cf2e", 


"cx" : [ 


"d5ada064c6417ca25c4308bd158c34b77e1c0eca2a73cda16c737e7424afba2f", 


"b268b45c59b39d759614757718b9918caf0ba9d97c56f3b91956ff877c503fbe", 


417 more transactions .,.// 这 一 行 显示 交易 数量 


], 


"time" : 1388185914, 


"nonce" : 924591752, 


"bits" : "1903a30c", 


"difficulty" : 1180923195.25802612, 
"chainwork" : "000000000000000000000000000000000000000000000934695e92aaf53afa1a", 


"previousblockhash" : "9000000000000002a7bbd25a417c0374cc55261021e8a9ca74442b01284f 056 
gr 
} 


10.5.1 创 币 交易 


区 块 中 的 第 交易 是 笔 特殊 交易 ， 称 为 创 币 交易 或 者 coinbase 交 易 。 这 个 交易 是 由 Jing 的 节 
usi aes 矿工 们 所 做 的 贡献 的 。 


注意 : 当 块 277,316 开 采 时 ， 每 个 块 的 奖励 是 25 比 特 币 。 ， 已 经 过 了 一 个 “ 减 半 ?" 时 期 。 
2016 年 七 月 份 的 奖励 为 12.5 比 特 币 ，2020 年 达 p MS 将 再 次 减 半 。 


Jing 的 节点 会 创建 "向 Jing 的 地 址 支付 25.09094928 个 比特 币 " 这 样 一 个 交易 ， 把 生成 交易 的 奖 
励 发 送 到 A 己 的 钱包 。Jing 挖 出 区 块 获得 的 奖励 金额 是 coinbase ? (25 个 全 新 的 比特 币 ) 
和 区 块 中 全 部 交易 矿工 费 的 总 和 。 


如 例 10-4 所 示 : coinbase X Z 


$ bitcoin-cli getrawtransaction d5ada064c6417ca25c4308bd158c34b77e1c0eca2a73cda16c737e 
7424afba2f 1 


"hex" : "01000000010000000000000000000000000000000000000000000000000000000000000000f ff 
fffffOf03443b0403858402062f503253482fffffffff0O110c08d9500000000232102aa970c592640d19de 
oaffef329d6fd2eecb023263b9ba5d1b81c29b523da8b21ac00000000" , 


"txid" : "d5ada064c6417ca25c4308bd158c34b77e1c0eca2a73cda16c737e7424afba2f", 
"version" : 1, 

"locktime" : 0, 

"vin" : [ 


"coinbase" : "03443b0403858402062f503253482f", 


"sequence" : 4294967295 


], 


"vout" : [ 


"value" : 25.09094928, 


"n" : 0, 


"scriptPubKey" : { 


"asm" : "02aa970c592640d19de03ff6f329d6fd2eecb023263b9ba5d1b81c29b523da8b210P CHECKS 
IG", 
"hex" : "2102aa970c592640d19de03ff6f329d6fd2eecb023263b9ba5d1b81c29b523da8b21ac", 


"reqSigs" : 1, 


"type" : "pubkey", 


"addresses" : ["1MXTkeEP2PmHSMze5tUZA1hAV3YTKu2Gh1N" 


与 常规 交易 不 同 ， 创 币 交 易 没 有 和 输入， 不 消耗 UTXO。 它 只 包含 一 个 被 称 作 coinbase 的 输入 ， 
仅仅 用 来 创建 新 的 比特 币 。 创 币 交 易 有 一 个 输出 ， 支 付 到 这 个 矿工 的 比特 币 地址 。 创 币 交 易 
的 输出 将 这 25.09094928 个 比特 币 发 送 到 矿工 的 比特 币 地 址 ， 如 本 例 所 示 的 
1MxTkeEP2PmHSMze5tUZ1hAV3YTKu2Gh1N ° 


10.5.2 Coinbase X #457 1T. p 


为 了 构造 创 币 交 易 ，Jing 的 节点 需要 计 草 矿工 费 的 总 额 ， 将 这 418 个 已 添加 到 区 块 交易 的 输入 
和 输出 分 别 进行 求 和 ， 然 后 用 输入 总 额 减 去 输出 总 额 得 到 矿工 费 总 额 ， 公 式 如 下 : 


Total Fees = Sum(Inputs) - Sum(Outputs) 


在 区 块 277,316 中 ， 矿 工 费 的 总 额 是 0.09094925 个 比特 币 。 


紧 接着 ，Jing 的 节点 计算 出 这 个 新 区 块 正确 的 奖励 额 。 奖 励 额 的 计算 是 基于 区 块 高 度 的 ， 以 每 
个 区 块 50 个 比特 币 为 开 始 ， 每 产生 210,000 个 区 块 减 半 一 次 。 这 个 区 块 高 度 是 277,316， 所 以 
正确 的 奖励 额 是 25 个 比特 币 。 


详细 的 计算 过 程 可 以 参看 比特 币 核心 客户 端 中 的 GetBlockValue 函 数 ， 如 例 10-5 所 示 : 


例 10-5 计算 区 块 奖 励 一 函数 GetBlockValue, Bitcoin Core Client, main.cpp 


CAmount GetBlockSubsidy(int nHeight, const Consensus::Params 
& 
consensusParams) { 
int halvings = nHeight / consensusParams.nSubsidyHalvingInterval; 
// Force block reward to zero when right shift is undefined. 
if (halvings 
> 
= 64) 
return 0; 


CAmount nSubsidy = 50 * COIN; 
// Subsidy is cut in half every 210,000 blocks which will occur approximately every 4 
years. 
nSubsidy 
> 
> 
= halvings; 
return nSubsidy; 


} 


变量 Subsidy 表 示 初 始 奖励 额 ， 值 为 COIN 常量 (100,000,000 联 ) 与 50 的 乘积 ， 也 就 是 说 初始 
奖励 额 为 50 亿 联 。 


紧 接 着 ， 这 个 函数 用 当前 区 块 高 度 除 以 减 半 间 隔 (SubsidyHalvinglnterval 元 数 ) 得 到 减 半 次 数 
(变量 ee ) 。 每 RE E 隔 ， 对 应 本 例 中 的 区 块 277316， 所 以 减 
半 次 数 为 1。 


€ halvings 最 大 值 64， 如 果 超 出 这 个 值 ， 代 码 算 得 的 奖励 额 为 0。 


然后 ， 这 个 函数 会 使 用 二 进 制 右 移 操作 将 奖励 额 ( 变 量 nSubsidy) 右 移 一 位 (等 同 与 除 以 2) ， 
每 一 轮 减 半 右 移 一 次 。 在 这 个 例子 中 ， 对 于 区 块 277,316 只 需要 将 值 为 50 亿 聪 的 奖励 额 右 移 一 
次 ， 得 到 25 亿 聪 ， 也 就 是 25 个 比特 币 的 奖励 额 。 之 所 以 采用 二 进 制 右 移 操 作 ， 是 因为 相 比 于 
整数 或 浮 点 数 除 法 ， 右 移 操作 的 效率 更 高 。 


最 后 ， 将 coinbase 奖 励 额 〈 变 量 nSubsidy ) 与 矿工 费 (nFee) 总 额 求 和 ， 并 返回 这 个 值 。 


注意 : 如 果 Jing 的 挖 矿 节点 把 coinbase 交 易 写 入 区 块 ， 那 么 如 何 防止 Jing 奖 励 自 己 100 其 至 
1000 比 特 币 ? 答案 是 ， 不 正确 的 奖励 将 被 其 他 人 视 为 无 效 ， 浪 费 了 Jing 用 于 工作 证 明 的 投 
入 。 只 有 这 个 区 块 被 大 家 认可 ，Jing 才 能 得 到 报酬 。 


10.5.36] f X Zj 89 2534 


经 过 计算 ，Jing 的 节点 构造 了 一 个 创 币 交易 ， 支 付 给 自己 25.09094928 枚 比特 币 。 


例 10-4 所 示 ， 创 币 交 易 的 结构 比较 特殊 ， 与 一 般 交 易 输入 需要 指定 一 个 先前 的 UTXO 不 同 ， 它 
包含 一 个 “coinbase" 输 入 。 在 之 前 的 章节 中 ， 我 们 已 经 给 出 了 交易 输入 的 结构 。 现 在 让 我 们 
来 比较 一 下 常规 交易 输入 与 创 币 交 易 输入 。 表 10-1 给 出 了 常规 交易 输入 的 结构 ， 表 10-2 给 出 
的 是 创 币 交 易 输 入 的 结构 。 


表 10-1 常规 交易 输入 结构 


Size Field Description 
32 bytes Transaction Hash Pointer to the transaction containing the UTXO to be spent 
4 bytes Output Index The index number of the UTXO to be spent, first one is 0 


1-9 bytes (Varlnt) ^ Unlocking-Script Size ^ Unlocking-Script length in bytes, to follow 
Variable Unlocking-Script A script that fulfills the conditions of the UTXO locking script 


4 bytes Sequence Number Currently disabled Tx-replacement feature, set to OXFFFFFFFF 


£& 10-2 > coinbase X Z 4s A 2$ 14 


Size Field Description 


Transaction 


32 bytes n" All bits are zero: Not a transaction hash reference 
as 
4 bytes Output Index All bits are ones: OxFFFFFFFF 
1-9 byt Coinbase Dat 
E ie or Length of the coinbase data, from 2 to 100 bytes 
(Varlnt) Size 


Arbitrary data used for extra nonce and mining tags. In v2 blocks; must begin with 


Variabl Coinbase Dat 
ariable oinbase Data Diod ea 


Sequence 


4 bytes Set to OxFFFFFFFF 


Number 


在 Coinbase 交 易 中 ，"“ 交 易 哈 希 " 字 段 32 个 字 节 全 部 填充 0，“ 交 易 输 出 索引 ?字段 全 部 填充 
0xFF( 十 进 制 的 255)， 这 两 个 字段 的 值 表 示 不 引用 UTXO。“ 解 锁 脚 本 "由 coinbase 数 据 代 替 ， 
数据 可 以 由 矿工 自 定义 。 


10.5.4 Coinbase 2x 4% 


创 币 交 易 不 包含 “解锁 脚本 “(又 称 作 scriptSig) 字 段 ， 这 个 字段 被 coinbase 数 据 替 代 ， 长 度 最 小 
2 字 节 ， 最 大 100 字 节 。 除 了 开始 的 几 个 字 节 外 ， 矿 工 可 以 任意 使 用 coinbase 的 其 他 部 分 ， 随 
意 填充 任何 数据 。 


以 创 世 块 为 例 ， 中 本 联 在 coinbase 中 卉 入 了 这 样 的 数据 “The Times 03/Jan/ 2009 Chancellor 
on brink of second bailout for banks“(4884+4k 2009 年 1 月 3 日 财政 大 臣 将 再 次 对 银行 施 以 援 
)? oe c T 
实现 extra nonceA fi& > EE ATE AE P KARIER CT We RPPARSES ON) ds 


o 


on 


coinbase 前 几 个 字 节 也 曾 是 可 以 任意 填写 的 ， 不 过 在 后 来 的 第 34 号 比特 币 改 进 提议 (BIP34) 中 
规定 了 版 本 2 的 区 块 (版 本 字段 为 2 的 区 块 )， 这 个 区 块 的 高 度 必须 跟 在 脚本 操作 “push" 之 
后 ， 卉 充 在 coinbase 字 段 的 起 始 处 。 


ane 以 例 10-4 中 的 区 块 277,316 为 例 ，coinbase 就 是 交易 输入 的 “解锁 脚本 "(或 scriptSig) 
段 ， 这 个 字段 的 十 六 进 制 值 为 03443b0403858402062f503253482f。 下 面 让 我 们 来 解码 这 
数据 。 


第 一 个 字 节 是 03， 脚 本 执行 引擎 执行 这 个 指令 将 后 面 3 个 字 节 压 入 脚本 栈 , 紧 接 着 的 3 个 字 节 
一 一 0x443b04， 是 以 小 端 格 式 ( 最 低 有 效 字 节 在 先 ) 编 码 的 区 块 高 度 。 翻 转 字 节 序 得 到 
0x043b44， 表 示 为 十 进 制 是 277,316。 


紧 接着 的 几 个 十 六 进 制 数 (03858402062) 用 于 编码 extra nonce( 参 见 "10.11.1 随机 值 升 位 方 
案 ")， 或 者 一 个 随机 值 ， 从 而 求解 一 个 适当 的 工作 量 证 明 。 


coinbase 数 据 结尾 部 分 (2f503253482f) 是 ASCII 编 码 字符 /P2SH/， 表 示 挖 出 这 个 区 块 的 挖 矿 节 
点 支持 BIP0016 所 定义 的 pay-to-script-hash(P2SH) 改 进 方案 。 在 P2SH 功 能 引入 到 比特 币 的 
时 候 ， 曾 经 有 过 一 场 对 P2SH 不 同 实现 方式 的 投票 ， 候选 者 是 BIP0016 和 BlIP0017。 支 持 
BlIP0016 的 矿工 将 /P2SH/ 放 入 coinbase 数 据 中 ， 支 持 BIP0017 的 矿工 将 p2sh/CHV 放 入 他 们 
的 coinbase 数 据 中 。 最 后 ，BIP0016 在 选举 中 胜出 ， 直 到 现在 依然 有 很 多 矿工 在 他 们 的 
coinbase 中 卉 入 /P2SH/ 以 表示 支持 这 个 功能 。 


10-6 使 用 了 libbitcoin 库 (在 之 前 "其 他 替代 客户 端 、 资 料 库 、 工 具 包 ?中 提 到 ) 从 创 世 块 中 提取 
coinbase 数 据 ， 并 显示 出 中 本 陪 留 下 的 信息 。libbitcoin 库 中 自 带 了 一 份 创 世 块 的 静态 找 贝 ， 
所 以 这 段 示 例 代码 可 以 直接 取 自 库 中 的 创 世 块 数据 。 


例 10-6 从 创 世 区 块 中 提取 coinbase 数 据 


link: code/satoshi-words.cpp\[\] 


例 8-7 中 ， 我 们 使 用 GNU C++ 编译 器 编译 源 代 码 并 运行 得 到 的 可 执行 文件 ， 
例 8-7 编译 并 运行 satoshi-words 示 例 代 码 


$ # Compile the code 

$ g++ -o satoshi-words satoshi-words.cpp $(pkg-config --cflags --libs libbitcoin) 
$ # Run the executable 

$ ./satoshi-words 

ADE 

< 

GS 

> 


^A^DEThe Times 03/Jan/2009 Chancellor on brink of second bailout for banks 


10.6 构造 区 块头 


为 了 构造 区 块头 ， 挖 矿 节 点 需要 填充 六 个 字段 ， 如 表 10-3 中 所 示 。 


表 10-3 区 块头 结构 


Size Field Description 


4 bytes Version A version number to track software/protocol upgrades 


32 bytes Previous Block Hash A reference to the hash of the previous (parent) block in the chain 


32bytes Merkle Root A hash of the root of the merkle tree of this block's transactions 

4 bytes Timestamp The approximate creation time of this block (seconds from Unix Epoch) 
4 bytes Target The Proof-of-Work algorithm target for this block 

4 bytes Nonce A counter used for the Proof-of-Work algorithm 


在 区 块 277,316 被 挖 出 的 时 候 ， 区 块 结构 中 用 来 表示 版 本 号 的 字段 值 为 2， 长 度 为 4 字 节 ， 以 小 
端 格式 编码 值 为 0x20000000 ° 


接着 ， 挖 矿 节 点 需要 填充 "前 区 块 哈 希 ”， 在 本 例 中 ， 这 个 值 为 Jing 的 节点 从 网 络 上 接收 到 的 区 
块 277,315 的 区 块头 哈 希 值 ， 它 是 区 块 277316 候 选区 块 的 父 区 块 。 区 块 277,315 的 区 块头 哈 希 
值 为 : 


0000000000000002a7bbd25a417c0374cc55261021e8a9ca74442b01284f0569 


提示 i HLA RAIA TTR A PREZ AER LIK» Jing AIL AES fe 
KD REIR o MAAE REAM RT RAR KER AAR TIER 


为 了 向 区 块头 填充 merkle 根 字段 ， 要 将 全 部 的 交易 组 成 一 个 merkle 树 。 创 币 交易 作为 区 块 中 
的 首 个 交易 ， 后 将 余下 的 418 笔 交易 添 至 其 后 ， 这 样 区 块 中 的 交易 一 共有 419 笔 。 在 之 前 ， 我 
们 已 经 见 到 过 “Merkle 树 ”， 树 中 必须 有 偶数 个 叶子 节点 ， 所 以 需要 复制 最 后 一 个 交易 作为 第 
420 个 叶子 节点 ， 每 个 叶子 节点 是 对 应 交易 的 哈 希 值 。 这 些 交 易 的 哈 希 值 逐 层 地 、 成 对 地 组 
合 ， 直 到 最 终 组 合并 成 一 个 根 节点 。merkle 数 的 根 节点 将 全 部 交易 数据 摘要 为 一 个 32 字 节 长 
度 的 值 ， 例 10-3 中 merkel 根 的 值 如 下 : 


c91c008c26e50763e9f548bb8b2fc323735f73577effbc55502c51eb4cc7cf2e 


控 矿 节点 会 继续 添加 一 个 4 字 节 的 时 间 戳 ， 以 Unix 纪 元 时 间 编 码 ， 即 自 1970 年 1 月 1 日 0 点 到 当 
下 总 共 流 逝 的 秒 数 。 本 例 中 的 1388185914 对 应 的 时 间 是 2013 年 12 月 27 日 ， 星 期 五 ， 
UTC/GMT 。 


接 下 来 ，Jing 的 节点 需要 填充 Target 字 段 (难度 目标 值 ) ， 为 了 使 得 该 区 块 有 效 ， 这 个 字段 定 
义 了 所 需 满足 的 工作 量 证 明 的 难度 。 难 度 在 区 块 中 以 “尾数 -指数 "的 格式 ， 编 码 并 存储 ， 这 种 
格式 称 作 target bits (难度 位 ) 。 这 种 编码 的 首 字 节 表示 指数 ， 后 面 的 3 字 节 表示 尾数 ( 系 数 )。 
以 区 块 277316 为 例 ， ee ，0x19 是 指数 的 十 六 进 制 格式 ， 后 半 部 
0x03a30c 是 系数 。 这 部 分 的 概念 在 后 面 的 “难度 目标 与 难度 调整 "和 "难度 表示 ”有 详细 的 解释 。 


最 后 一 个 字段 是 nonce， 初 始 值 为 0 。 


区 块头 完成 全 部 的 字段 卉 充 后 ， 挖 矿 就 可 以 开始 进行 了 。 挖 矿 的 目标 是 找到 一 个 使 区 块头 哈 
希 值 小 于 难度 目标 的 nonce。 控 矿 节 点 通常 需要 尝试 数 十 亿 甚 至 数 万 亿 个 不 同 的 nonce 取 值 ， 
直到 找到 一 个 满足 条 件 的 nonce 值 。 


10.7 构建 区 块 


既然 Jing 的 节点 已 经 构建 了 一 个 候选 区 块 ， 那 么 就 轮 到 Jing 的 矿 机 对 这 个 新 区 块 进行 “ 挖 气 ”， 
求解 工作 量 证 明 萌 法 以 使 这 个 区 块 有 效 。 从 本 书 中 我 们 已 经 学 习 了 比特 币 系 统 中 不 同 地 方 用 
到 的 哈 硕 加 密 函 数 。 比 特 币 挖 矿 过 程 使 用 的 是 SHA256% Ai AK © 


用 最 简单 的 术语 来 说 ， 挖 矿 就 是 重复 计算 区 块头 的 哈 希 值 ， 不断 修改 该 参数 ， 直 到 与 哈 希 值 
匹配 的 一 个 过 程 。 哈 希 函 数 的 结果 无 法 提前 得 知 ， 也 没有 能 得 到 一 个 特定 哈 希 值 的 模式 。 哈 
项 函数 的 这 个 特性 意味 着 : 得 到 哈 布 值 的 唯一 方法 是 不 断 的 尝试 ， 每 次 随机 修改 输入 ， 直 到 
出 现 适当 的 哈 希 值 。 


10.7.1 工作 量 证 明 算法 


哈 希 函数 输入 一 个 任意 长 度 的 数据 ， 输 出 一 个 长 度 固定 且 绝 不 雷同 的 值 ， 可 将 其 视 为 输入 的 
数字 指纹 。 对 于 特定 输 入 ， 哈 硕 的 结果 每 次 都 一 样 ， 任 何人 都 可 以 用 相同 的 哈 希 函数 ， 计 和 工 
和 验证 哈 布 结果 。 一 个 加 蜜 哈 硕 函数 的 主要 特征 就 是 不 同 的 输入 几乎 不 可 能 出 现 相 同 的 数字 
指纹 。 因 此 ， 有 意 的 选择 一 个 输入 去 生成 一 个 想 要 的 哈 希 值 值 是 几乎 不 可 能 的 ， 更 别提 用 随 
机 的 方式 生成 想 要 的 哈 希 值 了 。 


无 论 输入 的 大 小 是 多 少 ，SHA256 兄 数 的 输出 的 长 度 总 是 256bit。 在 例 10-8 中 ， 我 们 将 使 用 
Python 解释 器 来 计算 语句 "| am Satoshi Nakamoto" 的 SHA256 的 哈 希 值 。 


例 10-8 SHA256 示 例 


$ python 
Python 2.7.1 


> 
> 
> 


import hashlib 


> 
> 
2 

print hashlib.sha256("I am Satoshi Nakamoto").hexdigest() 
5d7c7ba21cbbcd75d14800b100252d5b428e5b1213d27c385bc141ca6b47989e 


4& 410-8 v > 
5d7c7ba21cbbcd75d14800b100252d5b4286e5b1213d27c385bc141ca6b47989e 是 "| am 
Satoshi Nakamoto" 的 哈 希 值 。 改 变 原名 中 的 任何 一 个 字母 、 标 点 、 或 增加 字母 都 会 产生 不 同 
的 哈 希 值 。 


如 果 我 们 改变 原 句 ， 得 到 的 应 该 是 完全 不 同 的 哈 希 值 。 例如， 我 们 在 句子 末尾 加 上 一 个 数 
字 ， 运 行 例 10-9 中 的 Python 脚本 。 例 10-9 通过 反复 修改 nonce 来 生成 不 同 哈 希 值 的 脚本 
(SHA256 ) 


link:code/hashN example.pyN[*] 


执行 这 个 脚本 就 能 生成 这 些 只 eae ne ea o 4110-10 中 显示 了 我 们 只 是 增 
加 了 这 个 数字 ， 却 得 到 了 非 常 不 同 的 哈 希 值 。 


例 10-10 通过 反复 修改 nonce 来 生成 不 同 哈 希 值 的 脚本 的 输出 


$ python hash example.py 

I am Satoshi NakamotoO = 

> 
a80a81401765c8eddee25df36728d732... 
I am Satoshi Nakamoto1 = 

> 
f7bc9a6304a4647bb41241a677b534bf... 
I am Satoshi Nakamoto2 - 

> 
ea758a8134b115298a1583ffb80ae629... 
I am Satoshi Nakamoto3 = 

> 
bfa9779618ff072c903d773de30c99bd... 
I am Satoshi Nakamoto4 - 

> 
bce8564de9a83c18c31944a66bde992f... 
I am Satoshi Nakamoto5 = 

> 
eb362c3cf3479be0a97a20163589038e... 
I am Satoshi Nakamoto6 = 

> 
4a2fd48e3be420d0d28e202360cfbaba... 
I am Satoshi Nakamoto7 = 

> 
790b5a1349a5f2b909bf74d0d166b17a... 
I am Satoshi Nakamoto8 - 

> 
702c45e5b15aa54b625d68dd947f1597... 
I am Satoshi Nakamoto9 - 

> 
7007cf7dd40f5eo933cd89fff5b791ffO0... 
I am Satoshi Nakamoto10 = 

> 


Cc2f38c81992f4614206a21537bd634a... 
I am Satoshi Nakamoto11 = 

> 
7045da6ed8a914690f087690e1e8d66... 
I am Satoshi Nakamoto12 = 

> 
60fO01db30c1a0d4cbce2b4b22e88b9b... 
I am Satoshi Nakamoto13 = 

> 
Oebc56d59a34f5082aaef3d66b37a66... 
I am Satoshi Nakamoto14 = 

> 
27eadi1ca85da66981fd9da01a8c6816... 
I am Satoshi Nakamoto15 = 

> 
394809fb809c5f83ce97ab554a2812c... 
I am Satoshi Nakamoto16 = 

> 
8fa4992219df33f5083446503047429... 
I am Satoshi Nakamoto17 = 

> 
dca9b8b4f8d8e1521fa4eaa46f4focd... 
I am Satoshi Nakamoto18 = 

> 
9989a401b2a3a318b01e9ca9a22b0f3... 
I am Satoshi Nakamoto19 = 

> 
cda56022ecb5b67b2bc93a2d764e75f... 


每 个 语句 都 生成 了 一 个 完全 不 同 的 哈 硕 值 。 它 们 看 起 来 是 完全 随机 的 ， 但 你 在 任何 计算 机 上 
用 Python 执行 上 面 的 脚本 都 能 重 现 这 些 完全 相同 的 哈 希 值 。 


类 似 这 样 在 语句 末尾 的 变化 的 数字 叫做 nonce (随机 数 ) 。Nonce 是 用 来 改变 加 密 函 数 输 出 
的 ， 在 这 个 示例 中 改变 了 这 个 语句 的 SHA256 指 纹 。 


为 了 使 这 个 哈 希 茎 法 变 得 富有 挑战 ， 我 们 来 设 定 一 个 具有 任意 性 的 目标 : 找到 一 个 语句 ， 使 

之 哈 希 值 的 十 六 进 制 表 示 以 0 开头 。 幸 运 的 是 ， 这 很 容易 ! 在 例 10-10 中 语句 "| am Satoshi 
Nakamoto13" 的 哈 希 值 是 
Oebc56d59a34f5082aaef3d66b37a661696c2b618e62432727216ba9531041a5 ， 刚 好 满足 
条 件 。 我 们 得 到 它 用 了 13 次 。 用 概率 的 角度 来 看 ， 如 果 哈 布 函 数 的 输出 是 平均 分 布 的 ， 
可 以 期 望 每 16 次 得 到 一 个 以 0 开头 的 哈 希 值 〈 十 六 进 制 个 位 数字 为 0 到 F) 。 从 数字 的 角度 来 
看 ， 我 们 要 找 的 是 小 于 
0x1000000000000000000000000000000000000000000000000000000000000000 44) 25-7 
值 。 


我 们 称 这 个 为 Target 目 标 阅 值 ， 我 们 的 目的 是 找到 一 个 小 于 这 个 目标 的 哈 希 值 。 如 果 我 们 减 小 
这 个 目标 值 ， 那 找到 一 个 小 于 它 的 哈 希 值 会 越 来 越 难 。 


简单 打 个 比方 ， BRAN AB MFA ES DTA IAE AMHR BOB Bde 
12。 只 要 你 不 扔 出 两 个 6 ， 你 就 会 赢 。 然 后 下 一 局 目标 为 11。 玩 家 只 能 扔 10 或 更 小 的 点 数 才 
能 赢 ， 不 过 也 很 简单 。 假 如 几 局 之 后 目标 降低 为 了 5 。 


现在 有 一 半 机 率 以 上 扔 出 来 的 最 子 加 起 来 点 数 会 超过 5， 因 此 无 效 。 随 着 目标 越 来 越 小 ， 要 想 
mis > HRPM KAS 指数 级 的 上 升 。 最 终 当 目标 为 2 时 (最 小 可 能 点 数 ) ， 只 有 一 个 人 平 
均 扔 36 次 或 2% 扔 的 次 数 中 ， 他 才能 赢 。 从 一 个 知道 股子 游戏 目标 为 2 的 观察 者 的 角度 来 看 ， 
如 果 有 人 要 成 功 中 奖 ， 假 设 他 平均 尝试 了 36 次 。 


换 和 句 话 说， 可 以 估计 从 实现 目标 难度 取得 成 功 所 需 的 工作 量 。 当 算法 是 基于 诸如 SHA256 的 
确定 性 函数 时 ， 输 入 本 身 就 成 为 证 据 ， 必 须要 一 定 的 工作 量 才能 产生 低 于 目标 的 结果 。 A 
此 ， 称 之 为 工作 量 证 明 。 


提示 : 尽管 每 次 尝试 产生 一 个 随机 的 结果 ， 但 是 任何 可 能 的 结果 的 概率 可 以 预先 计算 。 
此 ， 指 定 特定 难度 的 结果 构成 了 具体 的 工作 量 证 明 。 


在 例 10-10 中 ， 成 功 的 nonce 为 13， 且 这 个 结果 能 被 所 有 人 独立 确认 。 任 何人 将 13 加 到 语句 "I 
am Satoshi Nakamoto" 后 面 再 计算 哈 希 值 都 能 确认 它 比 目标 值 要 小 。 这 个 正确 的 结果 同时 也 
是 工作 量 证 明 (Proof of Work) ， 因 为 它 证 明 我 们 的 确 花 时 间 找 到 了 这 个 nonce。 验 证 这 个 哈 
希 值 只 需要 一 次 计算 ， 而 我 们 找到 它 却 花 了 13 次 。 如 果 目 标 值 更 小 (难度 更 大 ) ， 那 我 们 需 
要 多 得 多 的 哈 希 计算 才能 找到 合适 的 nonce， 但 其 他 人 验证 它 时 只 需要 一 次 哈 希 计算 。 此 外 ， 
知道 目标 值 后 ， 任 何人 都 可 以 用 统计 学 来 估算 其 难度 ， 因 此 就 能 知道 找到 这 个 nonce 需 要 多 少 
工作 。 


提示 : 工作 证 明 必 须 产 生 小 于 目标 的 哈 希 值 。 更 高 的 目标 意味 着 找到 低 于 目标 的 哈 希 是 不 太 
困难 的 。 较 低 的 目标 意味 着 在 目标 下 方 找到 哈 希 更 难 。 目标 和 难度 是 成 反比 。 


比特 币 的 工作 量 证 明和 例 10-10 中 的 挑战 非常 类 似 。 矿 工 用 一 些 交易 构建 一 个 候选 区 块 。 接 下 
来 ， 这 个 矿工 计算 这 个 区 块头 信息 的 哈 希 值 ， 看 其 是 否 小 于 当前 目标 值 。 如 果 这 个 哈 希 值 不 
小 于 目标 值 ， 矿 工 就 会 修改 这 个 nonce (通常 将 之 加 1) 然后 再 试 一 次 。 按 当前 比特 币 系 统 的 
难度 ， 矿 工 得 试 10^A15 次 〈10 的 15 次 方 ) 才能 找到 一 个 合适 的 nonce 使 区 块头 信息 哈 希 值 足够 
/人 六 

例 10-11 是 一 个 简化 很 多 的 工作 量 证 明 莫 法 的 实现 。 


例 10-11 简化 的 工作 量 证 明 算 法 


link: code/proof -of -work-example.py\[] 


你 可 以 任意 调整 难度 值 〈( 按 二 进 制 bit 数 来 设 定 ， 即 哈 布 值 开 头 多 少 个 bit 必 须 是 0) 。 然 后 执行 
代码 ， 看 看 在 你 的 计算 机 上 求解 需要 多 久 。 在 例 10-12 中 ， 你 可 以 看 到 该 程序 在 一 个 普通 笔记 
本 电脑 上 的 执行 情况 。 


例 10-12 多 种 难度 值 的 工作 量 证 明 算 法 的 运行 输出 


$ python proof-of-work-example.py* 


Difficulty: 1 (0 bits) 


Difficulty: 8 (3 bits) 

Starting search... 

Success with nonce 9 

Hash is 1ci1ci105e65b47142f028a8f93ddf3dabb9260491bc64474738133ce5256cb3c1 
Elapsed Time: 0.0004 seconds 

Hashing Power: 25065 hashes per second 

Difficulty: 16 (4 bits) 

Starting search... 

Success with nonce 25 

Hash is Of7becfd3bcd1a82e06663c97176add89e7cae0268de46f94e7e11bc3863e148 
Elapsed Time: 0.0005 seconds 

Hashing Power: 52507 hashes per second 

Difficulty: 32 (5 bits) 

Starting search... 

Success with nonce 36 

Hash is 029ae6e5004302a120630adcbb808452346abicfO0b94c5189ba8bacid47e7903 
Elapsed Time: 0.0006 seconds 

Hashing Power: 58164 hashes per second 


Difficulty: 4194304 (22 bits) 

Starting search... 

Success with nonce 1759164 

Hash is 0000008bb8f0e731f0496b8e530da984e85fb3cd2bd81882fe8ba3610b6cefc3 
Elapsed Time: 13.3201 seconds 

Hashing Power: 132068 hashes per second 

Difficulty: 8388608 (23 bits) 

Starting search... 

Success with nonce 14214729 

Hash is 000001408cfi12dbd20fcba6372a223e0984d58786c6ff93488a9f 74f5dfAdfOa3 
Elapsed Time: 110.1507 seconds 

Hashing Power: 129048 hashes per second 

Difficulty: 16777216 (24 bits) 

Starting search... 

Success with nonce 24586379 

Hash is 0000002c3d6b370fccd699708d1b7cb4a94388595171366b944d68b2acce8b95 
Elapsed Time: 195.2991 seconds 

Hashing Power: 125890 hashes per second 


Difficulty: 67108864 (26 bits) 
Starting search... 
Success with nonce 84561291 


Hash is 0000001f0ea21e676b6dde5ad429b9d131a9f2b000802ab2f169cbca22b1e21a 
Elapsed Time: 665.0949 seconds 
Hashing Power: 127141 hashes per second 


你 可 以 看 出 ， 随 着 难度 位 一 位 一 位 地 增加 ， 查 找 正确 结果 的 时 间 会 呈 指 数 级 增长 。 如 果 你 考 
虑 整个 256bit 数 字 空间 ， 每 次 要 求 多 一 个 0， 你 就 把 哈 希 查找 空间 缩减 了 一 半 。 在 例 10-12 
gus 人 ， 一 共 党 试 了 8 千 多 万 次 。 即 使 家 用 笔记 
本 每 秒 可 以 达 270,000 多 次 哈 希 计算 ， 这 个 查找 依然 需要 10 分 钟 。 


在 写 这 本 书 的 时 候 ， 比 特 币 网 络 要 寻找 区 块头 信息 哈 希 值 小 于 


0000000000000000029AB9000000000000000000000000000000000000000000 


可 以 看 出 ， 这 个 目标 哈 希 值 开 头 的 0 多 了 很 多 。 这 意味 着 可 接受 的 哈 希 值 范围 大 幅 缩 减 ， 因 而 
找到 正确 的 哈 希 值 更 加 困难 。 生 成 下 一 个 区 块 需要 网 络 每 秒 计 算 1.8 septa- 

hashes ((thousand billion billion 次 哈 希 ) 。 这 看 起 来 像 是 不 可 能 的 任务 ， 但 幸运 的 是 比特 币 
网 络 已 经 拥有 3EH/sec 的 处 理 能 力 ， 平 均 每 10 分 钟 就 可 以 找到 一 个 新 区 块 。 


10.7.2 难度 表示 


在 例 10-3 中 ， 我 们 在 区 块 中 看 到 难度 目标 ， 其 被 标 为 "难度 位 "或 简称 "bits"。 在 区 块 277,316 
中 ， 它 的 值 为 0x1903a30c ° 这 个 标记 的 值 被 存 为 系数 /指数 格式 ， 前 两 位 十 六 进 制 数字 为 暴 

(exponent) ， 接 下 来 得 六 位 为 系数 (coefficient) » HR IX2& €. > 0x194 39 > A 
0x03a30c 为 系数 。 


计算 难度 目标 的 公式 为 : 


target = coefficient \* 24\(8 N* N(exponent - 3\)\) 


由 此 公式 及 难度 位 的 值 0x1903a30c， 可 得 : 


target = 0x03a30c * 2^(0x08 * (0x19 - 0x03))^ 


target = 0x03a30c * 2^(0x08 * 0x16)^ 


target = 0x03a30c * 2^0xB0^ 


target - 238,348 * 2^176^ 


target = 22,829,202,948,393,929,850,749,706,076, 701, 368, 331, 072, 452, 018, 388, 575, 715,3 


target - 0x0000000000000003A30C00000000000000000000000000000000000000000000 


也 就 是 说 高 度 为 277,316 的 有 效 区 块 的 头 信息 哈 希 值 是 小 于 这 个 目标 值 的 。 这 个 数字 的 二 进 制 
表示 中 前 60 位 都 是 0。 在 这 个 难度 上 ， 一 个 每 秒 可 以 处 理 1 万 亿 个 哈 希 计算 的 矿工 (1 tera- 
hash per second X, 1 TH/sec) 平均 每 8,496 个 区 块 才能 找到 一 个 正确 结果 ， 换 和 句 话 说， 平均 
每 59 天 ， 才 能 为 某 一 个 区 块 找到 正确 的 哈 希 值 。 


10.7.3 难度 目标 与 难度 调整 


如 前 所 述 ， 目 标 决定 了 难度 ， 进 而 影响 求解 工作 量 证 明 算法 所 需要 的 时 间 。 那 么 问题 来 了 : 
为 什么 这 个 难度 值 是 可 调整 的 ? 由 谁 来 调整 了 如何 调 整 ? 


比特 币 的 区 块 平均 每 10 分 钟 生成 一 个 。 这 就 是 比特 币 的 心跳 ， 是 货币 发 行 速 牵 和 交易 达成 速 
度 的 基础 。 不 仅 是 在 短期 内 ， 而 是 在 几 十 年 内 它 都 必须 要 保持 恒定 。 在 此 期 间 ， 计 前 机 性 能 
将 飞速 提升 。 此 外 ， 参 与 挖 矿 的 人 和 计算 机 也 会 不 断 变化 。 为 了 能 让 新 区 块 的 保持 10 分 钟 一 
个 的 产生 速 举 ， 挖 矿 的 难度 必须 根据 这 些 变化 进行 调整 。 事 实 上 ， 难度 是 一 个 动 态 的 参数 ， 
会 定期 调整 以 达到 每 10 分 钟 一 个 新 区 块 的 目标 。 简 单 地 说 ， 难 度 被 设 定 在 ， 无 论 迫 矿 能 力 如 
何 ， 新 区 块 产生 速率 都 保持 在 10 分 钟 一 个 。 


那么 ， 在 一 个 完全 去 中 心 化 的 网 络 中 ， 这 样 的 调整 是 如 何 做 到 的 呢 ? 难度 的 调整 是 在 每 个 完 
整 节点 中 独立 自动 发 生 的 。 每 2,016 个 区 块 中 的 所 有 节点 都 会 调整 难度 。 难 度 的 调整 公式 是 由 
最 新 2,016 个 区 块 的 花费 时 长 与 20,160 分 钟 (PP 这 些 区 块 以 10 分 钟 一 个 速率 所 期 望花 费 的 时 
长 ) 比较 得 出 的 。 难 度 是 根据 实际 时 长 与 期 望 时 长 的 比值 进行 相应 调整 的 〈 或 变 难 或 变 

A) 。 简 单 来 说 ， 如 果 网 络 发 现 区 块 产生 速率 比 10 分 钟 要 快 时 会 增加 难度 。 如 果 发 现 比 10 分 
钟 慢 时 则 降低 难度 。 


这 个 公式 可 以 总 结 为 如 下 形式 : 


New Difficulty = Old Difficulty \* \(Actual Time of Last 2016 Blocks / 20160 minutes\) 


例 10-13 展 示 了 比特 币 核心 客户 端 中 的 难度 调整 代码 。 


例 10-13 工作 量 证 明 的 难度 调整 源 文件 ( pow.cpp 文 件 钟 的 CalculateNextWorkRequired() 
函数 ) 


$4311 & 3k GetNextWorkRequired()// Limit adjustment step 


// Limit adjustment step 
int64 t nActualTimespan - pindexLast- 
> 
GetBlockTime() - nFirstBlockTime; 
LogPrintf(" nActualTimespan = %d before bounds\n", nActualTimespan) ; 
if (nActualTimespan 
< 
params .nPowTargetTimespan/4) 
nActualTimespan = params.nPowTargetTimespan/4; 
if (nActualTimespan 
> 
params .nPowTargetTimespan*4) 
nActualTimespan = params.nPowTargetTimespan*4; 


// Retarget 
const arith_uint256 bnPowLimit = UintToArith256(params.powLimit); 
arith_uint256 bnNew; 
arith uint256 bnOld; 
bnNew.SetCompact (pindexLast - 
> 
nBits); 
bnOld = bnNew; 
bnNew *- nActualTimespan; 
bnNew /- params.nPowTargetTimespan; 


if (bnNew 
> 
bnPowLimit ) 
bnNew = bnPowLimit; 


注意 : 虽然 目标 校准 每 2,016 个 块 发 生 ， 但 是 由 于 Bitcoin Core 客 户 端的 一 个 错误 ， 它 是 基于 
之 前 的 2,015 个 块 的 总 时 间 (不 应 该 是 2,016 个 ) ， 导 致 重 定向 偏差 向 较 高 难度 提高 0.05% © 


参数 Interval(2,016 区 块 ) 和 TargetTimespan(1,209,600 秒 即 两 周 ) 的 定义 在 文件 
chainparams.cpp 中 。 


为 了 防止 难度 的 变化 过 每 个 周期 的 调整 幅度 必须 小 于 一 个 因子 ( 值 为 4) 。 如 果 要 调整 的 
幅度 大 于 4 倍 ， 则 cs 整 。 由 于 在 下 一 个 2.016 区 块 的 周期 不 平衡 的 情况 会 继续 存在 ， 所 以 
进一步 的 难度 调整 会 在 下 一 周期 进行 。 因 此 平衡 哈 希 计算 能 力 和 难度 的 巨大 差异 有 可 能 需要 
花费 几 个 2,016 区 块 周期 才 会 完成 。 


提示 : 寻找 一 个 比特 币 区 块 需要 整个 网 络 花费 10 分 钟 来 处 理 ， 每 发 现 2,016 个 区 块 时 会 根据 前 
2,016 个 区 块 完成 的 时 间 对 难度 进行 调整 。 


值得 注意 的 是 目标 难度 与 交易 的 数量 和 金额 无 关 。 这 意味 着 哈 希 算 力 的 强 弱 ， 即 让 比特 币 更 
安全 的 电力 投入 量 ， 与 交 多 的 数量 完全 无 关 。 换 句 话 说 ， 当 比特 币 的 规模 变 得 更 大 ， 使 用 它 
的 人 数 更 多 时 ， 即 使 哈 希 算 力 保持 当前 的 水 平 ， 比 特 币 的 安全 性 也 不 会 受到 影响 。 哈 希 算 力 
的 增加 表明 更 多 的 人 为 得 到 比特 币 回 报 而 加 入 了 挖 矿 队 伍 。 只 要 为 了 回报 ， 公 平 正 当地 从 事 
挖 矿 的 矿工 群体 保持 足够 的 哈 希 算 力 ，" 接 管 " 攻 击 就 不 会 得 逮 ， 让 比特 币 的 安全 无 度 。 


目标 难度 和 挖 矿 电力 消耗 与 将 比特 币 兑换 成 现金 以 支付 这 些 电 力 之 间 的 关系 密切 相关 。 高 性 
能 挖 矿 系统 就 是 要 用 当前 硅 芯片 以 最 高 效 的 方式 将 电力 转化 为 哈 希 算 力 。 挖 矿 市 场 的 关键 因 
素 就 是 每 度 电 转 换 为 比特 币 后 的 价格 。 因 为 这 决定 着 挖 矿 活动 的 营利 性 ， 也 因此 刺激 着 人 们 
选择 进入 或 退出 挖 矿 市 场 。 


10.8 成 功 构建 区 块 


前 面 已 经 看 到 ，Jing 的 节点 创建 了 一 个 候选 区 块 ， 准备 拿 它 来 挖 矿 。Jing 有 几 个 安装 了 
ASIC (专用 集成 电路 ) 的 矿 机 ， 上 面 有 成 千 上 万 个 集成 电路 可 以 超 高 速 地 并 行 运行 SHA256 
算法 。 这 些 定制 的 硬件 通过 USB 连 接 到 他 的 挖 矿 节点 上 。 接 下来， 运行 在 Jing 的 桌面 电脑 上 
的 控 矿 节点 将 区 块头 信息 传送 给 这 些 硬件 ， 让 它们 以 每 秒 亿 万 次 的 速度 进行 nonce 测 试 。 


在 对 区 块 277,316 的 挖 矿工 作 开始 大 概 11 分 钟 后 ， 这 些 硬 件 里 的 其 中 一 个 求 得 了 解 并 发 回 控 矿 
节点 。 当 把 这 个 结果 放 进 区 块头 时 ，nonce 4,215,469,401 就 会 产生 一 个 区 块 哈 希 值 : 


0000000000000002a7bbd25a417c0374cc55261021e8a9ca74442b01284f0569 


而 这 个 值 小 于 难度 目标 值 : 


0000000000000003A30C00000000000000000000000000000000000000000000 


Jing 的 挖 矿 节 点 立刻 将 这 个 区 块 发 给 它 的 所 有 相 邻 节点 。 这 些 节点 在 接收 并 验证 这 个 新 区 块 
后 ， 也 会 继续 传播 此 区 块 。 当 这 个 新 区 块 在 网 络 中 扩散 时 ， 每 个 节点 都 会 将 它 作 为 区 块 
277,316 加 到 自身 节点 的 区 块 链 副 本 中 。 当 挖 矿 节点 收 到 并 验证 了 这 个 新 区 块 后 ， 它 们 会 放 育 
之 前 对 构建 这 个 相 同 高 度 区 块 的 计算 ， 并 立即 开始 计算 区 块 链 中 下 一 个 区 块 的 工作 。 


下 节 将 介绍 节点 进行 区 块 验证 、 最 长 链 选择 、 达 成 共识 ， 并 以 此 形成 一 个 去 中 心 化 区 块 链 的 
过 程 。 


10.9 校 验 新 区 块 


比特 币 共识 机 制 的 第 三 步 是 通过 网 络 中 的 每 个 节点 独立 校 验 每 个 新 区 块 。 当 新 区 块 在 网 络 中 
传播 时 ， 每 一 个 节点 在 将 它 转发 到 其 节点 之 前 ， 会 进行 一 系列 的 测试 去 验证 它 。 这 确保 了 只 
有 有 效 的 区 块 会 在 网 络 中 传播 。 独 立 校 验 还 确保 了 诚实 的 矿工 生成 的 区 块 可 以 被 纳入 到 区 块 
链 中 ， 从 而 获得 奖励 。 行 为 不 诚实 的 矿工 所 产生 的 区 块 将 被 拒绝 ， 这 不 但 使 他 们 失 LTR 
励 ， 而 且 也 浪费 了 本 来 可 以 去 寻找 工作 量 证 明 解 的 机 会 ， 因 而 导致 其 电费 亏损 。 


当 一 个 节 po Rd 区 块 ， 它 将 对 照 一 个 长 长 的 标准 清单 对 该 区 块 进行 验证 ， 若 没有 
过 验证 ， 这 个 区 块 将 被 拒 绝 。 这 些 标准 可 以 在 比特 币 核心 客户 端的 CheckBlock 函 数 和 

CheckBlockHead £i Zt P 3& 44 ， 

它 包 括 : 

DO 区 块 的 数据 结构 语法 上 有 效 

D> 区 块头 的 哈 希 值 小 于 目标 难度 (确认 包含 足够 的 工作 量 证 明 ) 

D> 区 块 时 间 惟 旱 于 验证 时 刻 未 来 两 个 小 时 (允许 时 间 错 误 ) 

> 区 块 大 小 在 长 度 限 制 之 内 

D 第 一 个 交易 ( 且 只 有 第 一 个 ) 是 coinbase 交 易 

D 使 用 检查 清单 验证 区 块 内 的 交易 并 确保 它们 的 有 效 性 

参见 之 前 章节 “交易 的 独立 校 验 ”一 节 已 经 讨论 过 这 个 清单 。 每 一 个 节点 对 每 一 个 新 区 块 的 独 

立 校 验 ， 确 保 了 矿工 无 法 其 诈 。 在 前 面 的 章节 中 ， 我 们 看 到 了 矿工 们 如 何 去 记 录 一 笔 交 易 ， 

以 获得 在 此 区 块 中 创造 的 新 比特 币 和 交易 费 。 为 什么 矿工 不 为 他 们 自己 记录 一 笔 交 易 去 获 

数 以 千 计 的 比特 币 ?这 是 因为 每 一 个 节点 根据 相同 的 规则 对 区 块 进行 校 验 。 一 个 无 效 的 

coinbase 交 易 将 使 整个 区 块 无 效 ， 这 将 导致 该 区 块 被 拒绝 ， 因 此 ， 该 交易 就 不 会 成 为 总 账 的 

一 部 分 。 矿 工 们 必须 构建 一 个 完美 的 区 块 ， 基 于 所 有 节点 共享 的 规则 ， 并 且 根 据 正 BLES 


证 明 的 解决 方案 进行 挖 矿 ， 他 们 要 花费 大 量 的 电力 挖 矿 才 能 做 到 这 一 点 。 如 果 他 们 作痛 ， 所 
有 的 电力 和 努力 都 会 浪费 。 这 就 是 为 什么 独立 校 验 是 去 中 心 化 共识 的 重要 组 成 部 分 。 


10.10 区 块 链 的 组 装 与 选 


比特 币 去 中 心 化 的 共识 机 制 的 最 后 一 步 是 将 区 块 集合 至 有 最 大 工作 量 证 明 的 链 中 。 一 旦 一 个 
节点 验证 了 一 个 新 的 区 块 ， E 试 将 新 的 区 块 连接 到 到 现存 的 区 块 链 ， 将 它们 组 装 起 来 。 


节点 维护 三 种 区 块 : 第 一 种 是 连接 到 主 链 上 的 ， 第 二 种 是 从 主 链 上 产生 分 支 的 (备用 链 ) ， 
最 后 一 种 是 在 已 知 链 中 没有 找到 已 知 父 区 块 的 。 在 验证 过 程 中 ， 一 旦 发 现 有 不 符合 标准 的 地 
方 ， 验 证 就 会 失败 ， 这 样 区 块 会 被 节点 拒绝 ， 所 以 也 不 会 加 入 到 任何 一 条 链 中 。 


任何 时 候 ， 主 链 都 是 累计 了 最 多 难度 的 区 块 链 。 在 一 般 情 况 下 ， 主 链 也 是 包含 最 多 区 块 的 那 
个 链 ， 除 非 有 两 个 等 长 的 链 并 且 其 中 一 个 有 更 多 的 工作 量 证 明 。 主 链 也 会 有 一 些 分 支 ， 这 些 
分 支 中 的 区 块 与 主 链 上 的 区 块 互 为 “兄弟 "区 块 。 这 些 区 块 是 有 效 的 ， 但 不 是 主 链 的 一 部 分 


保留 这 些 分 支 的 目的 是 如 果 在 未 来 的 某 个 时 刻 它们 中 的 一 个 延长 了 并 在 难度 值 上 超 过 了 主 
链 ， 那 么 后 续 的 区 块 就 会 引用 它们 。 在 “10.10.1 区 块 链 分 又 "， 我 们 将 会 看 到 在 同样 的 区 块 高 
度 ， 几 乎 同时 挖 出 区 块 时 ， 候 选 链 是 如 何 产生 的 。 


当 节 点 接收 到 新 区 块 ， 它 会 尝试 将 这 个 区 块 插入 到 现 有 区 块 链 中 。 节 点 会 看 一 下 这 个 区 块 

的 “previous block hash" F 段 ， 这 个 字段 是 该 区 块 对 其 父 区 块 的 引用 。 同 时 ， 新 的 节点 将 尝试 
在 已 存在 的 区 块 链 中 找 出 这 个 父 区 块 。 大 多 数 情况 下 ， 父 区 块 是 主 块 链 的 “顶点 "， 这 就 意味 
着 这 个 新 的 区 块 延 长 了 主 链 。 举 个 例子 ， 一 个 新 的 区 块 区 块 277,316 引 用 了 它 的 父 区 块 
区 块 277,315。 收 到 277316 区 块 的 大 部 分 节点 都 已 经 将 277315 最 为 主 链 的 顶端 ， 因 此 ， 
连接 这 个 新 区 块 并 延长 区 块 链 。 








有 时 候 ， 新 区 块 所 延长 的 区 块 链 并 不 是 主 链 ， 这 一 点 我 们 将 在 “10.10.1 区 块 链 分 又 ?中 看 到 。 
在 这 种 情况 下 ， 节 点 将 新 的 区 块 添加 到 备用 链 ， 同 时 比较 备用 链 与 主 链 的 难度 。 如 果 备 用 链 
比 主 链 积累 了 更 多 的 难度 ， 节 点 将 收敛 于 备用 链 ， 意 味 着 节点 将 选择 备用 链 作为 其 新 的 主 
链 ， 而 之 前 那个 老 的 主 链 则 成 为 了 备用 链 。 如 果 节 点 是 一 个 矿工 ， 它 将 开始 构造 新 的 区 块 ， 
来 延长 这 个 更 新 更 长 的 区 块 链 。 


如 果 节 点 收 到 了 一 个 有 效 的 区 块 ， 而 在 现 有 的 区 块 链 中 却 未 找到 它 的 父 区 块 ， 那 么 这 个 区 块 
BDA DIR” © RAH 保存 在 缴 块 池 中 ， 直 到 它们 的 父 区 块 被 节点 收 到 。 一 旦 收 到 了 父 
区 块 并 且 将 其 连接 到 现 有 区 块 链 上 ， 节 点 就 会 将 孤 块 从 匆 块 池 中 取出 ， 并 且 连 接 到 它 的 父 区 
块 ， 让 它 作为 区 块 链 的 一 部 分 。 当 两 个 区 块 在 很 短 的 时 间 间 隔 内 被 挖 出 来 ， 节 点 有 可 能 会 以 
相反 的 顺序 接收 到 它们 ， 这 个 时 候 孤 块 现象 就 会 出 现 。 


选择 了 最 大 难度 的 区 块 链 后 ， 所 有 的 节点 最 终 在 全 网 范围 内 达成 共识 。 随 着 更 多 的 工作 量 证 
明 被 添加 到 链 中 ， 链 的 暂时 性 差异 最 终 会 得 到 解决 。 挖 矿 节 点 通过 “投票 "来 选择 它们 想 要 延 
长 的 区 块 链 ， 当 它们 挖 出 一 个 新 块 并 且 延 长 了 一 个 链 ， 新 块 本 身 就 代表 它们 的 投票 。 


相互 竞争 的 链 之 间 是 存在 差异 的 ， 下 节 我 们 将 看 到 节点 是 怎样 通过 独立 选择 最 长 难度 链 来 解 
决 这 种 差异 的 。 


10.10.1 区 块 链 分 又 


因为 区 块 链 是 去 中 心 化 的 数据 结构 ， 所 以 不 同 副本 之 间 不 能 总 是 保持 一 致 。 区 块 有 可 能 在 不 
同时 间 到 达 不 同 节点 ， 导 致 节点 有 不 同 的 区 块 链 人 全貌。 解决 的 办 法 是 ， 每 一 个 节点 总 是 选择 
并 尝试 延长 代表 累计 了 最 大 工作 量 证 明 的 区 块 链 ， 也 就 是 最 长 的 或 最 大 累计 工作 的 链 
(greatest cumulative work chain) 。 节 点 通过 累加 链 上 的 每 个 区 块 的 工作 量 ， 得 到 建立 这 个 
链 所 要 付出 的 工作 量 证 明 的 总 量 。 只 要 所 有 的 节点 选择 最 长 累计 工作 的 区 块 链 ， 整 个 比特 币 
网 络 最 终 会 收 化 到 一 致 的 状态 。 分 又 即 在 不 同 区 块 链 间 发 生 的 临时 差异 ， 当 更 多 的 区 块 添加 
到 了 某 个 分 又 中 ， 这 个 问题 便 会 迎刃而解 。 


提示 由 于 全 球 网 络 中 的 传输 延迟 ， 本 节 中 描述 的 区 块 链 分 又 自动 会 发 生 。 我 们 也 将 在 本 章 稍 
后 再 看 看 故意 引起 的 分 又 。 


pal eee 我 们 将 通过 网 络 跟踪 “fork" 事 件 的 进展 。 该 图 是 比特 币 网 络 的 简化 表 
。 为 了 便于 描述 ， 不 同 的 区 块 被 显示 为 不 同 的 形状 ( 星 形 ， 三 角形 ， 倒 置 三 角形 ， 蓉 

Ut > 遍布 网 络 。 网 络 中 的 每 个 圆 表示 一 个 节点 。 

每 个 节点 都 有 自己 的 全 局 区 块 链 视图 。 当 每 个 节点 从 其 邻居 接收 区 块 时 ， 它 会 更 新 其 自己 的 

区 块 链 副 本 ， 选 择 最 大 累积 工作 链 。 为 便于 描述 ， 每 个 节点 包含 一 个 图 形 形 状 ， 表 示 它 相信 

的 区 块 处 于 主 链 的 顶端 。 因此， 如 果 在 节点 里 面 看 到 星 形 ， 那 就 意味 着 该 节点 认为 星 形 区 块 

处 于 主 链 的 顶端 。 


在 第 一 张 图 (图 10-2) 中 ， 网 络 有 一 个 统一 的 区 块 链 视角 ， 以 星 形 区 块 为 主 链 的 “顶点 ”。 
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图 10-2 


当 有 两 个 候选 区 块 同时 想 要 延长 最 长 区 块 链 时 ， 分 又 事件 就 会 发 生 。 正 常情 况 下 ， 分 又 发 生 
在 两 名 矿工 在 较 短 的 时 间 内 ， 各 自 都 算得 了 工作 量 证 明 解 的 时 候 。 两 个 矿工 在 各 自 的 候选 区 
块 一 发 现 解 ， 便 立即 传播 自己 的 “获胜 "区 块 到 网 络 中 ， 先 是 传播 给 邻近 的 节点 而 后 传播 到 整 
个 网 络 。 每 个 收 到 有 效 区 块 的 节点 都 会 将 其 并 入 并 延长 区 块 链 。 如 果 该 节点 在 随后 又 收 到 了 
另 一 个 候选 区 块 ， 而 这 个 区 块 又 拥有 同样 父 区 块 ， 那 么 节点 会 将 这 个 区 块 连接 到 候选 链 上 。 
其 结果 是 ， 一 些 节点 收 到 了 一 个 候选 区 块 ， 而 另 一 些 节点 收 到 了 另 一 个 候选 区 块 ， 这 时 两 个 


不 同 版 本 的 区 块 链 就 出 现 了 。 在 图 10-3 中 ， 我 们 看 到 两 个 矿工 (NodeX 和 NodeY ) 几乎 同时 
挖 到 了 两 个 不 同 的 区 块 。 这 两 个 区 块 是 顶点 区 块 一 一 星 形 区 块 的 子 区 块 ， 可 以 延长 这 个 区 块 
链 。 为 了 方便 查看 ， 我 们 把 节点 X 产 生 的 区 块 标记 为 三 角形 ， 把 节点 Y 生 产 的 区 块 标记 为 倒 三 
A o 
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图 10-3 


例如 ， 我 们 假设 矿工 节点 X 找 到 扩展 区 块 链 工 作 量 证 明 的 解 ， 即 三 角形 区 块 ， 构 建 在 星 形 父 区 
块 的 顶端 。 与 此 同时 ， 同 样 进行 星 形 区 块 扩展 的 节点 Y 也 找到 了 扩展 区 块 链 工作 量 证 明 的 解 ， 
即 倒 三 角形 区 块 作为 候选 区 块 。 现 在 有 两 个 可 能 的 块 ， 节 点 X 的 三 角形 区 块 和 节点 Y 的 倒 三 负 
形 区 块 ， 这 两 个 区 块 都 是 有 效 的 ， 均 包含 有 效 的 工作 量 证 明 解 并 延长 同一 个 父 区 块 。 这 个 两 
个 区 块 可 能 包含 了 几乎 相同 的 交易 ， 只 是 在 交易 的 排序 上 有 些许 不 同 。 

当 两 个 区 块 开始 在 网 络 传播 时 ， 一 些 节点 首先 接收 到 三 角形 区 块 ， 另 外 一 些 节点 首先 接收 个 
三 角形 区 块 。 如 下 图 10-4 所 示 ， 比 特 币 网 络 上 的 节点 对 于 区 块 链 的 顶点 产生 了 分 歧 ， 一 派 以 
三 角形 区 块 为 顶点 ， 而 另 一 派 以 倒 三 角形 区 块 为 顶点 
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图 10-4 


在 图 中 ， 假 设 节 点 X 首 先 接收 到 三 角形 块 ， 并 用 它 扩展 星 形 链 。 节 点 X 选 择 三 角形 区 块 为 主 
链 。 之 后 ， 节 点 X 也 收 到 倒 三 角 区 块 。 由 于 是 第 二 次 收 到 ， 因 此 它 判定 这 个 倒 三 角形 区 块 是 竞 
争 失败 的 产物 ， 认 为 是 无 效 区 块 。 然 而 ， 倒 三 角形 的 区 块 不 会 被 丢弃 。 它 被 链接 到 星 形 链 的 
父 区 块 ， 并 形成 备用 链 。 虽 然 节 点 X 认 为 自己 已 经 正确 选择 了 获胜 链 ， 但 是 它 还 会 保存 " 丢 
失 " 链 ， 使 得 “丢失 " 链 如 果 可 能 最 终 “ 获 胜 ”， 它 还 具有 重新 打包 的 所 需 的 信息 。 


在 网 络 的 另 一 端 节点 Y 根 据 自己 的 视角 构建 一 个 区 块 链 。 首 先 获得 倒 三 角形 区 块 ， 并 选择 这 
条 链 作为 “赢家 "”。 当 它 稍 后 收 到 三 角形 区 块 时 ， 它 也 将 三 角形 区 块 连接 到 星 形 链 的 父 区 块 作为 
备用 链 。 


双方 都 是 “正确 的 "或 “不 正确 的 ”。 两 者 都 是 自己 关于 区 块 链 的 有 效 立场 。 只 有 事后 ， 才 能 理解 
这 两 个 竞争 链 如 何 通 过 额外 的 工作 得 到 延伸 。 


节点 X 阵 营 的 其 他 节点 将 立即 开始 挖掘 候选 区 块 ， 以 “三 角形 "作为 扩展 区 块 链 的 顶端 。 通 过 将 
三 角形 作为 候选 区 块 的 父 区 块 ， 它 们 用 自己 的 哈 希 算 力 进行 投票 。 它 们 的 投票 标明 支持 自己 
选择 的 链 为 主 链 。 


同样 ， 节 点 Y 阵 营 的 其 他 节点 ， 将 开始 构建 一 个 以 倒 三 角形 作为 其 父 节 点 的 候选 节点 ， 扩 展 它 
们 认为 是 主 链 的 链 。 比 赛 再 次 开始 。 分 又 问题 几乎 总 是 在 一 个 区 块 内 就 被 解决 了 。 网 络 中 的 
一 部 分 昔 力 专注 于 “三 角形 "区 块 为 父 区 块 ， 在 其 之 上 建立 新 的 区 块 ; 另 一 部 分 算 力 则 专注 
在 " 倒 三 角形 "区 块 上 。 即 便 工 力 在 这 两 个 阵营 中 平均 分 配 ， 也 总 有 一 个 阵营 抢 在 另 一 个 阵营 前 
发 现 工作 量 证 明 解 并 将 其 传播 出 去 。 在 这 个 例子 中 我 们 可 以 打 个 比方 ， 假 如 工作 在 “三 角形 ”区 
块 上 的 矿工 找到 了 一 个 “ 鞭 形 "区 块 延长 了 区 块 链 ( 星 形 -三 角形 -次 形 )， 他 们 会 立刻 传播 这 个 新 
区 块 ， 整 个 网 络 会 都 会 认为 这 个 区 块 是 有 效 的 ， 如 下 图 10-5 所 示 。 
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选择 "三 角形 "作为 上 一 轮 中 胜出 者 的 所 有 节点 将 简单 地 将 区 块 链 扩 展 一 个 块 。 然 而 ， 选 择 " 倒 
三 角 ” 的 节点 现在 将 看 到 两 个 链 : 星 形 -三 角形 - 鞭 形 和 星 型 -到 三 角形 。 星 形 -三 角形 - 鞭 形 这 条 


链 现 在 比 其 他 链条 更 长 (更 多 累积 的 工作 ) 。 因 此 ， 这 些 节 点 将 星 形 -三 角形 -菱形 设置 为 主 
链 ， 并 将 星 型 - 倒 三 角形 链 变 为 备用 链 ， 如 图 10-6 所 示 。 这 是 一 个 链 的 重新 共识 ， 因 为 这 些 节 
点 被 迫 修 改 他 们 对 块 链 的 立场 ， 把 自己 纳入 更 长 的 链 。 任 何 从 事 延 伸 星 形 - 倒 三 角形 的 矿工 现 
在 都 将 停止 这 项 工作 ， 因 为 他 们 的 候选 人 是 “孤儿 ”， 因 为 他 们 的 父母 " 倒 三 角形 "不 再 是 最 长 的 
连锁 。“ 倒 三 角形 ”内 的 交易 重新 插入 到 内 存 池 中 用 来 包含 在 下 一 个 块 中 ， 因 为 它们 所 在 的 块 
不 再 位 于 主 链 中 。 整 个 网 络 重新 回 到 单一 链 状态 ， 星 形 -三 角形 - 鞭 形 ，" 鞭 形 "成 为 链 中 的 最 后 
一 个 块 。 所 有 矿工 立即 开始 研究 以 " 鞭 形 "为 父 区 块 的 候选 块 ， 以 扩展 这 条 星 形 -三 角形 - 芙 形 
链 。 
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从 理论 上 来 说 ， 两 个 区 块 的 分 又 是 有 可 能 的 ， 这 种 情况 发 生 在 因 先 前 分 又 而 相互 对 立 起 来 的 
矿工 ， 又 几乎 同时 发 现 了 两 个 不 同 区 块 的 解 。 然 而 ， 这 种 情况 发 生 的 几率 是 很 低 的 。 单 区 块 
分 又 每 周 都 会 发 生 ， 而 双 块 分 又 则 非常 罕见 。 比 特 币 将 区 块 间 隔 设 计 为 10 分 钟 ， 是 在 更 快速 
的 交易 确认 和 更 低 的 分 又 概率 间作 出 的 妥协 。 更 短 的 区 块 产生 间隔 会 让 交 易 清 算 更 快 地 完 
成 ， 也 会 导致 更 加 频繁 地 区 块 链 分 又 。 与 之 相对 地 ， 更 长 的 间隔 会 减少 分 又 数量 ， 却 会 导致 
更 长 的 清算 时 间 。 


10.11 挖 矿 和 算 力 竞赛 


比特 币 挖 矿 是 一 个 极 富 竞争 性 的 行业 。 自 从 比特 币 存 在 开始 ， 每 年 比特 币 算 力 都 成 指数 增 
长 。 一 些 年 份 的 增长 还 体现 出 技术 的 变革 ， 比 如 在 2010 年 和 2011 年 ， 很 多 矿工 开始 从 使 用 
CPU 升级 到 使 用 GPU， 进 而 使 用 FGPA (现场 可 编程 门 阵 列 ) 挖 矿 。 在 2013 年 ，ASIC 挖 矿 的 
引入 ， 把 SHA256 算 法 直接 固化 在 挖 矿 专用 的 硅 世 片上， 引起 了 算 力 的 另 一 次 巨大 飞跃 。 一 
台 采 用 这 种 芯片 的 矿 机 可 以 提供 的 算 力 ， 比 2010 年 比特 币 网 络 的 整体 算 力 还 要 大 。 


下 表 表 示 了 比特 币 网 络 开始 运行 后 最 初 五 年 的 总 算 力 : 
2009 

0.5 MH/sec-8 MH/sec (16x growth) 
2010 

8 MH/sec-116 GH/sec (14,500x growth) 
2011 

16 GH/sec-9 TH/sec (562x growth) 
2012 

9 TH/sec-23 TH/sec (2.5x growth) 
2013 

23 TH/sec-10 PH/sec (450x growth) 
2014 

10 PH/sec-300 PH/sec (3000x growth) 
2015 

300 PH/sec-800 PH/sec (266x growth) 
2016 


800 PH/sec-2.5 EH/sec (312x growth)) 


在 图 10-7 的 图 表 中 ， 我 们 可 以 看 到 近 两 年 里 ， 矿 业 和 比特 币 的 成 长 引起 了 比特 币 网 络 算 力 的 
指数 增长 (每 秒 网 络 总 算 力 ) 。 


Hash Rate 


The estimated number of tera hashes per second (trillions of hashes per second) 
the Bitcoin network is performing. 


Source: blockchain.info Export » 
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随 着 比特 币 挖 矿 算 力 的 爆炸 性 增长 ， 与 之 匹配 的 难度 也 相应 增长 。 图 10-8 中 的 相对 难度 值 显 
示 了 当前 难度 与 最 小 难度 (第 一 个 块 的 难度 ) 的 比例 。 


Difficulty 
A relative measure of how difficult it is to find a new block. The difficulty is 
adjusted periodically as a function of how much hashing power has been 
deployed by the network of miners. 


Export ~ 
Source: blockchain.info 
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近 两 年 ， ASIC 芯 片 变 得 更 加 密集 ， 特 征 尺 寸 接近 芯片 制造 业 前 沿 的 16 纳 米 。 控 矿 的 利润 率 驱 
动 这 个 行业 以 比 通用 计算 更 快 的 速度 发 展 。 


目前 ，ASIC 制 造 商 的 目标 是 超越 通用 CPU 芯 片 制造 商 ， 设 计 特 征 尺寸 为 14 纳 米 的 芯片 。 对 比 
特 币 挖 矿 而 言 ， 已 经 没有 更 多 飞跃 的 空间 ， 因 为 这 个 行业 已 经 触及 了 摩尔 定律 的 最 前 沿 。 摩 
尔 定律 指出 计算 能 力 每 18 个 月 增加 一 倍 。 


尽管 如 此 ， 随 着 更 高 密度 的 芯片 和 数据 中 心 的 部 署 竟 赛 ， 网 络 算 力 继续 保持 同步 的 指数 增 
长 。 现 在 的 竞争 已 经 不 再 是 比较 单一 芯片 的 能 力 ， 而 是 一 个 矿 场 能 塞 进 多 少 世 片 ， 并 处 理 好 
散热 和 供电 问题 。 


10.11.1 随机 值 升 位 方案 the extra nonce solution 


2012 年 以 来 ， 比 特 币 挖 矿 发 展 出 一 个 解决 区 块头 基本 结构 限制 的 方案 。 在 比特 币 的 早期 ， 矿 
工 可 以 通过 遍历 随机 数 (Nonce) 获 得 符合 要 求 的 hash 来 挖 出 一 个 块 。 


难度 增长 后 ， 矿 工 经 常 在 尝试 了 40 亿 个 值 后 仍然 没有 出 块 。 然 而 ， 这 很 容 易 通 过 读 取 块 的 时 
间 惟 并 计算 经 过 的 时 间 来 解决 。 因 为 时 间 惟 是 区 块头 的 一 部 分 ， 它 的 变化 可 以 让 矿工 用 不 同 
的 随机 值 再 次 遍历 。 当 挖 矿 硬件 的 速度 达到 了 4GH/ 秒 ， 这 种 方法 变 得 越 来 越 困 难 ， 因 为 随机 
数 的 取 值 在 一 秒 内 就 被 用 尽 了 。 


当 出 现 ASIC 矿 机 并 很 快 达到 了 TH/ 秒 的 hash 速 府 后 ， 挖 矿 软件 为 了 找到 有 效 的 块 ， 需 要 更 多 
的 空间 来 储存 nonce 值 。 可 以 把 时 间 惟 延 后 一 点 ， 但 将 来 如 果 把 它 移动 得 太 远 ， 会 导致 区 块 
变 为 无 效 。 


区 块头 需要 信息 来 源 的 一 个 新 的 “变革 "。 解 决 方案 是 使 用 coinbase 交 易 作 为 额外 的 随机 值 来 
源 ， 因 为 coinbase 脚 本 可 以 储存 2-100 字 节 的 数据 ， 矿 工 们 开始 使 用 这 个 空间 作为 额外 随机 值 
的 来 源 ， 允 许 他 们 去 探索 一 个 大 得 多 的 区 块头 值 范 围 来 找到 有 效 的 块 。 这 个 coinbase 交 易 包 
含 在 merkle 树 中 ， 这 意味 着 任何 coinbase 脚 本 的 变化 将 导致 Merkle 根 的 变化 。 


8 个 字 节 的 额外 随机 数 ， 加 上 4 个 字 节 的 “标准 "随机 数 ， 允 许 矿工 每 秒 尝试 2^.96 (8 后 面 跟 28 个 
R) 种 可 能 性 而 无 需 修 改 时 间 戳 。 如 果 未 来 矿工 穿 过 了 以 上 所 有 的 可 能 性 ， 他 们 还 可 以 通过 
修改 时 间 改 来 解决 。 同 样 ，coinbase 脚 本 中 也 有 更 多 额外 的 空间 可 以 为 将 来 随机 数 的 扩展 做 
准备 。 


10.11.2 9 池 


在 这 个 激烈 竞争 的 环境 中 ， 个 体 矿 工 独立 工作 (也 就 是 solo 挖 矿 ) 没有 一 点 机 会 。 他 们 找到 一 

个 区 块 以 抵消 电力 和 硬件 成 本 的 可 能 性 非常 小， 以 至 于 可 以 称 得 上 是 赌博 ， 就 像 是 买 彩票 。 
就 算是 最 快 的 消费 型 ASIC 也 不 能 和 那些 在 巨大 机 房 里 拥有 数 万 芯片 并 靠近 水 电站 的 商业 矿 场 
竞争 。 

现在 矿工 们 合作 组 成 矿 池 ， 汇 集 数 以 千 计 参与 者 们 的 算 力 并 分 享 奖 励 。 通 过 参加 矿 池 ， 矿 工 
们 得 到 整体 回报 的 一 小 部 分 ， 但 通常 每 天 都 能 得 到 ， 因 而 减少 了 不 确定 性 。 


让 我 们 来 看 一 个 具体 的 例子 。 假 设 一 名 矿工 已 经 购买 了 算 力 共计 14,000GH/S， 或 14TH/S 的 设 
备 ， 在 2017 年 ， 它 的 价 值 大 约 是 2500 美 元 。 


该 设备 运行 功率 为 1.3 千 瓦 (KW) ， 每 日 耗 电 32 度 ， 每 日 平均 成 本 1 或 2 美元 。 以 目前 的 比特 
币 难 度 ， 该 矿工 solo 方 式 挖 出 一 个 块 平均 需要 4 年 。 如 果 这 pci en et 
区 块 ， 奖 励 12.5 个 比特 币 ， 如 果 每 个 比特 币 价 格 约 为 1000 美 元 〈 译 者 : 这 是 作者 出 版 此 书 的 


价格 ，2017 年 10 月 22 日 译 者 看 到 的 价格 是 5880 美 元 ) ， 可 以 得 到 12,500 美 元 的 收入 。 这 其 至 
不 能 履 盖 整个 硬件 和 整个 时 间 段 的 电力 消耗 ， 净 亏损 约 为 1,000 美 元 。 而 有 全， 在 4 年 的 时 间 周 
期 内 能 否 挖 出 一 个 块 还 主要 靠 矿工 的 运气 。 他 有 可 能 在 4 年 中 得 到 两 个 块 从 而 赚 到 非常 大 的 利 
润 。 或 者 ， 他 可 能 5 年 都 找 不 到 一 个 块 ， 从 而 遭受 经 济 损失 。 


更 糟 的 是 ， 比 特征 的 工作 证 明 (POW) 算法 的 难度 可 能 在 这 段 时 间 内 显著 上 升 ， 按 照 目前 算 
力 增长 的 速度 ， 这 意味 着 矿工 在 设备 被 下 一 代 更 有 效率 的 矿 机 取代 之 前 ， 最 多 有 1 年 的 时 间 取 
得 成 果 。 如 果 这 个 矿工 加 入 矿 池 ， 而 不 是 等 待 4 年 内 可 能 出 现 一 次 的 暴利 ， 他 每 周 能 赚 取 大 约 
50-60 美 元 。 矿 池 的 常规 收入 能 帮 他 随时 间 摊 销 硬件 和 电力 的 成 本 ， 并 且 不 用 承担 巨大 的 风 
险 。 在 1-2 年 后 ， 硬 件 仍 然 会 过 时 ， 风 险 仍然 很 高 ， 但 在 此 期 间 的 收入 至 少 是 定期 的 和 可 靠 
的 。 


从 财务 数据 分 析 ， 这 只 有 非常 低 的 电力 成 本 (每 千瓦 不 到 1 美 分 ) ， 非 常 大 的 规模 时 才 有 意 
义 。 矿 池 通 过 专用 控 矿 协议 协调 成 百 上 千 的 矿工 。 


个 人 矿工 在 建立 矿 池 账 号 后 ， 设 置 他 们 的 矿 机 连接 到 矿 池 服 务 器 。 他 们 的 挖 矿 设备 在 挖 矿 时 
保持 和 矿 池 服 务 器 的 连接 ， 和 其 他 矿工 同步 各 自 的 工作 。 这 样 ， 矿 池 中 的 矿工 分 享 控 矿 任 
务 ， 之 后 分 享 奖励 。 成 功 出 块 的 奖励 支付 到 矿 池 的 比特 币 地 址 ， 而 不 是 单个 矿工 的 。 一 旦 奖 
励 达到 一 个 特定 的 阅 值 ， 矿 池 服 务 器 便 会 定期 支 付 奖 励 到 矿工 的 比特 币 地 址 。 


通常 情况 下 ， 矿 池 服 务 器 会 为 提供 矿 池 服务 收取 一 个 百分比 的 费用 。 参 加 矿 池 的 矿工 把 搜寻 
候选 区 块 的 工作 量 分 逢 ， 并 根据 他 们 控 矿 的 贡献 赚 取 "份额 "。 矿 池 为 赚 取 "份额 ”设置 了 一 个 低 
难度 的 目标 ， 通 常 比 比特 币 网 络 难 度 低 1000 倍 以 上 。 


当 矿 池 中 有 人 成 功 挖 出 一 块 ， 矿 池 获 得 奖励 ， 并 和 所 有 矿工 按照 他 们 做 出 贡献 的 “份额 " 数 的 
比例 分 配 。 矿 池 对 任何 矿工 开放 ， 无 论 大 小 、 专 业 或 业余 。 一 个 矿 池 的 参与 者 中 ， 有 人 只 有 
一 台 小 矿 机 ， 而 有 些 人 有 一 车 库 高 端 挖 矿 硬 件 。 有 人 只 用 几 十 度 电 挖 矿 ， 也 有 人 会 用 一 个 数 
据 中 心 消耗 兆 瓦 级 的 电量 。 矿 池 如 何 衡量 每 个 人 的 贡献 ， 既 能 公平 PERG > Lie RH 
可 能 ?答案 是 在 设置 一 个 较 低 难度 的 前 提 下 ， 使 用 比特 币 的 工作 量 证 明 算 法 来 衡量 每 个 矿工 
的 贡献 。 


因此 ， 即 使 是 池 中 最 小 的 矿工 也 经 常 能 分 得 奖励 ， 这 足以 激励 他 们 为 矿 池 做 出 贡献 。 通 过 设 
置 一 个 较 低 的 取得 份 额 的 难度 ， 矿 池 可 以 计量 出 每 个 矿工 完成 的 工作 量 。 每 当 矿 工 发 现 一 个 
小 于 矿 池 难度 的 区 块头 hash， 就 证 明了 它 已 经 完 成 了 寻找 结果 所 需 的 hash 计 算 。 更 重要 的 
是 ， 这 些 为 取得 份额 贡献 而 做 的 工作 ， 能 以 一 个 统计 学 上 可 衡量 的 方法 ， 整 体 寻找 一 个 比特 
币 网 络 的 目标 散 列 值 。 成 千 上 万 的 矿工 尝试 较 小 区 间 的 hash 值 ， 最 终 可 以 找到 符合 比特 币 网 
络 要 求 的 结果 。 


让 我 们 回 到 肖 子 游戏 的 比喻 。 如 果 山 子 玩家 的 目标 是 扔 骨 子 结果 都 小 于 4 (整体 网 络 难 度 ) ， 
一 个 矿 池 可 以 设置 一 个 更 容易 的 目标 ， 统 计 有 多 少 次 池 中 的 玩家 扔 出 的 结果 小 于 8。 当 池 中 的 
玩家 扔 出 的 结果 小 于 8 ( 矿 池 份 额 目标 ) ， 他 们 得 到 份额 ， 但 他 们 没有 赢得 游戏 ， 因 为 没有 完 
成 游戏 目标 (小 于 4) 。 但 池 中 的 玩家 会 更 经 常 的 达到 较 容 易 的 矿 池 份额 目 标 ， 规 律 地 赚 取 他 
们 的 份额 ， 尽 管 他 们 没有 完成 更 难 的 赢得 比赛 的 目标 。 时 不 时 地 ， 池 中 的 一 个 成 员 有 可 能 会 
扔 出 一 个 小 于 4 的 结果 ， 厂 池 获 胜 。 然后， 收益 可 以 在 池 中 玩家 获得 的 份额 基础 上 分 配 。 


管 目标 设置 为 8 或 更 少 并 没有 赢得 游戏 ， 但 是 这 是 一 个 衡量 玩家 们 扔 出 的 点 数 的 公平 方法 ， 
BR ee ni 告 果 。 同 样 的 ， 一 个 矿 池 会 将 矿 池 难度 设置 在 保证 一 个 单独 的 
矿工 能 够 频繁 地 找到 一 个 符合 矿 池 难度 的 区 块头 hash 来 赢 取 份 额 。 时 不 时 的 ， 茶 次 尝试 会 产 
生 一 个 符合 比特 币 网 络 目 标的 区 块头 hash， 产 生 一 个 有 效 块 ， 然 后 整个 矿 池 获胜 。 


10.11.2.1 托管 矿 池 


大 部 分 矿 池 是 “托管 的 "， 意思 是 有 一 个 公司 或 者 个 人 经 营 一 个 矿 池 服 务 器 。 矿 池 服 务 器 的 所 有 
者 叫 矿 池 管 理 员 ， 同 时 他 从 矿工 的 收入 中 收取 一 个 百 分 OS A 
以 及 协调 池 中 矿工 们 活动 的 矿 池 采矿 协议 。 矿 池 服 务 器 同时 也 连接 到 一 个 或 更 多 比特 币 完 

节 点 并 直接 访问 一 个 块 链 数据 库 的 完整 副本 。 这 使 得 矿 池 服务 器 可 ort a 
区 块 和 交易 ， 缓 解 他 们 和 运行 一 个 完整 节点 的 负担 。 


对 于 池 中 的 矿工 ， 这 是 一 个 重要 的 考量 ， 因 为 一 个 完整 节点 要 求 一 个 拥有 最 少 100-150GB 的 
永久 储存 空间 (ER) 和 最 少 2GB 到 4GB 内 存 (RAM) 的 专用 计算 机 。 


此 外 ， 运 行 一 个 完整 节点 的 比特 币 软件 需要 监控 、 维 护 和 频繁 升级 。 由 于 缺乏 维护 或 资源 导 
致 的 任何 宕 机 都 会 伤害 到 矿工 的 利润 。 对 于 很 多 矿工 来 说 ， 不 需要 跑 一 个 完整 节点 就 能 采 
矿 ， 也 是 加 入 托管 矿 池 的 一 大 好 处 。 


矿工 连接 到 矿 池 服务 器 使 用 一 个 采矿 协议 比如 Stratum(STM) 或 者 GetBlockTemplate(GBT)。 
一 个 日 标准 GetWork(GWK) 自 从 2012 年 底 已 经 基本 上 过 时 了 ， 因 为 它 不 支持 在 hash 速 度 超 过 
4GH/S 时 采矿 。STM 和 GBT 协 议 都 创建 包含 候选 区 块头 模板 的 区 块 模 板 。 矿 池 服 务 器 通过 打 
包 交 易 ， 添 加 coinbase 交 易 (和 额外 的 随机 值 空间 ) ， 计 算 MERKLE 根 ， 并 连接 到 上 一 个 块 
hash 来 建立 一 个 候选 区 块 。 这 个 候选 区 块 的 头 部 作为 模板 分 发 给 每 个 矿工 。 矿 工 用 这 个 区 块 
模板 在 低 于 比特 币 网 络 的 难度 下 采矿 ， 并 发 送 成 功 的 结果 返回 矿 池 服务 器 赚 取 份额 。 


10.11.2.2 P2P» 池 


托管 矿 池 存 在 管理 人 作 次 的 可 能 ， 管 理 人 可 以 利用 矿 池 进行 双重 支付 或 使 区 块 无 效 。 (A 
此 外 ， 中 心 化 的 矿 池 服务 器 代表 着 单 点 故障 。 如 果 因 为 拒绝 服务 攻击 
务 器 挂 了 或 者 被 减 慢 is 池 中 矿工 就 不 能 采矿 2 


在 2011 年 ， 为 了 解决 由 中 心 化 造成 的 这 些 问题 ， 提 出 和 实施 了 一 个 新 的 矿 池 挖 矿 方法 。 
P2Pool 是 一 个 点 对 点 的 矿 池 ， 没 有 中 心 管理 人 。P2Pool 通 过 将 矿 池 服务 器 的 功能 去 中 心 化 ， 
实现 一 个 并 行 的 类 似 区 块 链 的 系统 ， 名 叫 份 额 链 (share chain) 。 


一 个 份额 链 是 一 个 难度 低 于 比特 币 区 块 链 的 区 块 链 系 统 。 份 额 链 允 许 池 中 矿工 在 一 个 去 中 心 
化 的 池 中 合作 ， 以 每 30 秒 一 个 份额 区 块 的 速度 在 份额 链 上 采矿 ， 并 获得 份额 。 份 额 链 上 的 区 
E dcc uc uis 
上 还 实现 了 上 比特 币 网 络 的 难度 目标 时 ， 它 将 被 广播 并 包含 到 比特 币 的 区 块 链 上 ， 并 奖励 所 有 
已 经 在 份额 链 区 块 中 取得 份额 的 池 中 矿工 。 


本 质 上 说 ， 比 起 用 一 个 矿 池 服务 器 记录 矿工 的 份额 和 奖励 ， 份 额 链 允 许 所 有 矿工 通过 类 似 比 
特 币 区 块 链 系统 的 去 中 心 化 的 共识 机 制 跟踪 所 有 份额 。P2Pool 采 矿 方式 比 在 矿 池 中 采矿 要 复 
杂 的 多 ， 因 为 它 要 求 矿 工 运行 空间 、 内 存 、 带 宽 充 足 的 专用 计算 机 来 支持 一 个 比特 币 的 完整 
节点 和 P2Pool 节 点 软件 。P2Pool 矿 工 连接 他 们 的 采矿 硬件 到 本 地 P2Pool 节 点 ， 它 通过 发 送 区 
块 模板 到 矿 机 来 模拟 一 个 矿 池 服务 器 的 功能 。 在 P2Pool 中 ， 单 独 的 矿工 创建 自己 的 候选 区 

块 ， 打 包 交 易 ， 非 常 类 似 于 solo 矿 工 ， 但 是 他 们 在 份额 链 上 合作 采矿 。 


P2Pool 是 一 种 比 单独 挖 矿 有 更 细 粒 度 收 入 优势 的 混合 方法 。 但 是 不 需要 像 托管 矿 池 那样 给 管 
理 人 太 多 权力 。 即 使 P2Pool 减 少 了 采矿 池 运 营 商 的 中 心 化 程度 ， 但 也 可 能 容易 受到 份额 链 本 
身 的 51% 的 攻击 。 P2Pool 的 广泛 采用 并 不 能 解决 比特 币 本 身 的 51% 攻 击 问 题 。 相 反 ， 作 为 
多 样 化 采矿 生态 系统 的 一 部 分 ，P2Pool 整 体 使 得 比特 币 更 加 强大 。 


10.12 共识 攻击 


比特 币 的 共识 机 制 指 的 是 ， 被 矿工 (或 矿 池 ) 试图 使 用 自己 的 算 力 实行 欺骗 或 破坏 的 难度 很 
大 ， 至 少 理论 上 是 这 样 。 就 像 我 们 前 面 讲 的 ， 比 特 币 的 共识 机 制 依赖 于 这 样 一 个 前 提 ， 那 就 
是 绝 大 多 数 的 矿工 ， 出 于 自己 利益 最 大 化 的 考虑 ， 都 会 通过 诚实 地 挖 矿 来 维持 整个 比特 币 系 
统 。 然 而 ， 当 一 个 或 者 一 群 拥有 了 整个 系统 中 大 量 算 力 的 矿工 出 现 之 后 ， 他 们 就 可 以 通过 攻 
击 比 特 币 的 共识 机 制 来 达到 破坏 比特 币 网 络 的 安全 性 和 可 靠 性 的 目的 。 


值得 注意 的 是 ， 共 识 攻击 只 能 影响 整个 区 块 链 未 来 的 共识 ， 或 者 说 ， 最 多 能 影响 不 久 的 过 去 
几 个 区 块 的 共识 (最 多 影响 过 去 10 个 块 ) 。 而 且 随 着 时 间 的 推移 ， 整 个 比特 币 块 链 被 鞭 改 的 
可 能 性 越 来 越 低 。 


理论 上 ， 一 个 区 块 链 分 又 可 以 变 得 很 长 ， 但 实际 上 ， 要 想 实现 一 个 非常 长 的 区 块 链 分 又 需要 
的 莫 力 非常 非常 大 ， 随 着 整个 比特 币 区 块 链 逐渐 增长 ， 过 去 的 区 块 基本 可 以 认为 是 无 法 被 分 
又 鞭 改 的 。 同 时 ， 共 识 攻击 也 不 会 影响 用 户 的 私 钥 以 及 加 密 算 法 (ECDSA) 。 


共识 攻击 也 不 能 从 其 他 的 钱包 那里 偷 到 比特 币 、 不 签名 地 支付 比特 币 、 重 新 分 配 比 特 币 、 改 
变 过 去 的 交易 或 者 改变 比特 币 持 有 纪 录 。 共 识 攻 击 能 够 造成 的 唯一 影响 是 影响 最 近 的 区 块 
(最 多 10 个 ) 并 且 通 过 拒绝 服务 来 影响 未 来 区 块 的 生成 。 共 识 攻击 的 一 个 典型 场景 就 是 "51% 
攻击 "”。 想 象 这 么 一 个 场景 ， 一 群 矿 工控 制 了 整个 比特 币 网 络 519%6 的 算 力 ， 他 们 联合 起 来 打算 
攻击 整个 比特 币 系统 。 由 于 这 群 矿 工 可 以 生成 绝 大 多 数 的 块 ， 他 们 就 可 以 通过 故意 制造 块 链 
分 又 来 实现 “双重 支 付 " 或 者 通过 拒绝 服务 的 方式 来 阻止 特定 的 交易 或 者 攻击 特定 的 钱包 地 
址 。 


区 块 链 分 又 /双重 支付 攻击 指 的 是 攻击 者 通过 不 承认 最 近 的 某 个 交易 ， 并 在 这 个 交易 之 前 重 构 
新 的 块 ， 从 而 生成 新 的 分 又 ， 继 而 实现 双重 支付 。 有 了 充足 算 力 的 保证 ， 一 个 攻击 者 可 以 一 
次 性 蔓 改 最 近 的 6 个 或 者 更 多 的 区 块 ， 从 而 使 得 这 些 区 块 包 含 的 本 应 无 法 鼻 改 的 交易 消失 。 值 
得 注意 的 是 ， 双 重 支付 只 能 在 攻击 者 拥有 的 钱包 所 发 生 的 交易 上 进行 ， 因 为 只 有 钱包 的 拥有 


者 才能 生成 一 个 合法 的 签名 用 于 双重 支付 交易 。 攻 击 者 在 自己 的 交易 上 进行 双重 支付 攻击 ， 
如 果 可 以 通过 使 交易 无 效 而 实现 对 于 不 可 逆转 的 购买 行为 不 子 付款 ， 这 种 攻击 就 是 有 利 可 图 
的 。 


让 我 们 看 一 个 “51% 攻 击 "的 实际 案例 吧 。 在 第 1 章 我 们 讲 到 ，Alice 和 Bob 之 间 使 用 比特 币 完 
成 了 一 杯 咖啡 的 交易 。 咖 啡 店 老板 Bob 愿意 在 Alice 给 自己 的 转账 交易 确认 数 为 零 的 时 候 就 
向 其 提供 咖啡 ， 这 是 因为 这 种 小 TOUT ‘51% Be dx" AY JUI fe f. WY 5 89 BP E (Alice 能 
立即 拿 到 咖啡 ) 比 起 来 ， 显 得 微不足道 。 这 就 和 大 部 分 的 咖啡 店 对 低 于 25 美 元 的 信用 卡 消费 
不 会 费时 费力 地 向 顾客 索要 签名 是 一 样 的 ， 因 为 和 顾客 有 可 能 撤销 这 笔 信 用 卡 支付 的 风险 比 
起 来 ， 向 用 户 索要 信用 卡 签名 的 成 本 更 高 。 


相应 的 ， 使 用 比特 币 支 付 的 大 额 交 易 被 双重 支付 的 风险 就 高 得 多 了 ， 因 为 买 家 (LEA) 可 
以 通过 在 全 网 广播 一 个 自 实 交 易 的 UTXO 一 样 的 伪造 交易 ， 以 达到 取消 丨 实 交易 的 目的 。 双 
重 支付 可 以 有 两 种 方式 : 要 么 是 在 交易 被 确认 之 前 ， 要 么 攻击 者 通过 块 链 分 又 来 完成 。 进 行 
51% 攻 击 的 人 ， 可 以 取消 在 昌 分 又 上 的 交易 记录 ， 然 后 在 新 分 又 上 重新 生成 一 个 同样 金额 的 
交易 ， 从 而 实现 双重 支付 。 


再 举 个 例子 : eee Mallory Carole AR T AH KAY PARKA = HK 20.3, (The Great 
Fire) ，Mallory 通 过 转账 价值 25 万 美金 的 比特 币 与 Carol 进 行 交易 。 在 等 到 一 个 而 不 是 六 个 交 
多 确认 之 后 ，Carol 放 心地 将 这 幅 组 画 包 好 ， 交 给 了 Mallory。 这 时 ，Mallory 的 一 个 同伙 ， 一 
个 拥有 大 量 草 力 的 矿 池 的 人 Paul， 在 这 笔 交 易 写 进 区 块 链 的 时 候 ， 开 始 了 519% 攻 击 。 


首先 ，Paul 利 用 自己 矿 池 的 算 力 重 新 计算 包含 这 笔 交 易 的 块 ， 并 且 在 新 块 里 将 原来 的 交易 替 
换 成 了 另外 一 笔 交 易 (比如 直接 转 给 了 Mallory 的 另 一 个 钱包 而 不 是 Carol 的 ) ， 从 而 实现 

了 "双重 支付 "。 这 笔 " 双 重 支付 "交易 使 用 了 跟 原 有 交易 一 致 的 UTXO， 但 收 款 人 被 替换 成 了 
Mallory 的 钱包 地 址 。 


然后 ，Paul 利 用 矿 池 在 伪造 的 块 的 基础 上 ， 又 计算 出 一 个 更 新 的 块 ， 这 样 ， 包 含 这 笔 “ 双 重 支 
付 " 交 易 的 块 链 比 原 有 的 块 链 高 出 了 一 个 块 。 到 此 ， 高 度 更 高 的 分 又 区 块 链 取代 了 原 有 的 区 块 
链 ，“ 双 重 支付 " 交 吻 取 代 了 原来 给 Carol 的 交易 ，Carol 既 没有 收 到 价值 25 万 美金 的 比特 币 ， 原 
本 拥有 的 三 幅 价值 连城 的 画 也 被 Mallory 白 白 拿 走 了 。 


在 整个 过 程 中 ，Paul| 矿 池 里 的 其 他 矿工 可 能 自始至终 都 没有 觉察 到 这 笔 “ 双 重 支付 "交易 有 什么 
异样 ， 因 为 挖 矿 程序 都 是 自动 在 运行 ， 并 且 不 会 时 时 监控 每 一 个 区 块 中 的 每 一 笔 交易 。 


为 了 避免 这 类 攻击 , 售卖 大 宗 商 品 的 商家 应 该 在 交易 得 到 全 网 的 6 个 确认 之 后 再 交付 商品 或 
者 ， 商 家 应 该 使 用 第 三 方 的 多 方 签名 的 账户 进行 交易 ， 并 且 也 要 等 到 交易 账户 获得 全 网 多 个 
确认 之 后 再 交付 商品 。 一 条 交易 的 确认 数 越 多 ， 越 难 被 攻击 者 通过 51% 攻 击 纂 改 。 


对 于 大 宗 商品 的 交易 ， 即 使 在 付款 24 小 时 之 后 再 发 货 ， 对 买卖 双方 来 说 使 用 比特 币 支 付 也 是 

方便 并 且 有 效 浴 的 。 而 24 小 时 之 后 ， 这 笔 交 易 的 全 网 确认 数 将 达到 至 少 144 个 (能 有 效 降低 被 
51% 攻 击 的 可 能 性 ) 。 共 识 攻 击 中 除了 "双重 支付 "攻击 ， 还 有 一 种 攻击 场景 就 是 拒绝 对 某 个 特 
定 的 比特 币 地 址 提供 服务 。 一 个 拥有 了 系统 中 绝 大 多 数 算 力 的 攻击 者 ， 可 以 轻易 地 忽略 某 一 

笔 特 定 的 交易 。 如 果 这 笔 交 易 存 在 于 另 一 个 矿工 所 产生 的 区 块 中 ， 该 攻击 者 可 以 故意 分 又 


然后 重新 产生 这 个 区 块 ， 并 且 把 想 忽略 的 交易 从 这 个 区 块 中 移 除 。 这 种 攻击 造成 的 结果 就 
是 ， 只 要 这 名 攻击 者 拥有 系统 中 的 绝 大 多 数 算 力 ， 那 么 他 就 可 以 持续 地 干预 某 一 个 或 某 一 批 
特定 钱包 地 址 产生 的 所 有 交易 ， 从 而 达到 拒绝 为 这 些 地 址 服务 的 目的 。 


需要 注意 的 是 ，51% 攻 击 并 不 是 像 它 的 命名 里 说 的 那样 ， 攻 击 者 需要 至 少 51% 的 算 力 才能 
起 ， 实 际 上 ， 即 使 其 拥有 不 到 51% 的 系统 算 力 ， 依 然 可 以 尝试 发 起 这 种 攻击 。 之 所 以 命名 为 
51% 攻 击 ， 只 是 因为 在 攻击 者 的 算 力 达到 51% 这 个 阅 值 的 时 候 ， 其 发 起 的 攻击 尝试 几乎 肯定 
会 成 功 。 


本 质 上 来 看 ， 共 识 攻 击 ， 就 像 是 系统 中 所 有 矿工 的 算 力 被 分 成 了 两 组 ， 一 组 为 诚实 算 力 ， 一 
Slice aren mee ular arya aad 
心 构造 的 、 包 含 或 者 别 除 了 某 些 交易 的 块 。 因 此 ， 攻 击 者 拥有 的 算 力 越 少 ， 在 这 场 决 逐 中 获 
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从 另 一 个 角度 讲 ， 一 个 攻击 者 拥有 的 算 力 越 多 ， 其 故意 创造 的 分 又 块 链 就 可 能 越 长 ， 可 能 被 
监 改 的 最 近 的 块 或 者 或 者 受 其 控制 的 未 来 的 块 就 会 越 多 。 一 些 安全 研究 组 织 利用 统计 模型 得 
出 的 结论 是 ， 算 力 达到 全 网 的 30% 就 足以 发 动 51% 攻 击 了 。 全 网 算 力 的 急剧 增长 已 经 使 得 比 
特 币 系统 不 再 可 能 被 某 一 个 矿工 攻击 ， 因 为 一 个 矿工 已 经 不 可 能 占据 全 网 哪怕 的 1% 算 力 。 


但 是 中 心 化 控制 的 矿 池 则 引入 了 矿 池 操作 者 出 于 利益 而 施行 攻击 的 风险 。 矿 池 操 作者 控制 了 
候选 块 的 生成 ， 同 时 也 控制 哪些 交易 会 被 放 到 新 生成 的 块 中 。 这 样 一 来 ， 矿 池 操 作者 就 拥有 
了 别 除 特定 交易 或 者 双重 支付 的 权力 。 如 果 这 种 权 利 被 矿 池 操作 者 以 微妙 而 有 节制 的 方式 滥 
用 的 话 ， 那 么 矿 池 操作 者 就 可 以 在 不 为 人 知 的 情况 下 发 动 共识 攻击 并 获 益 。 但 是 ， 并 不 是 所 
有 的 攻击 者 都 是 为 了 利益 。 


一 个 可 能 的 场景 就 是 ， 攻 击 者 仅仅 是 为 了 破坏 整个 比特 币 系统 而 发 动 攻击 ， 而 不 是 为 了 利 
益 。 这 种 意 在 破坏 比特 币 系 统 的 攻击 者 需要 巨大 的 投入 和 精心 的 计划 ， 因 此 可 以 想象 ， 这 
| 
过 滥用 矿 池 操作 者 的 上 述 权力 来 施行 拒绝 服务 等 共识 攻击 。 但 是 ， 随 着 比特 币 网 络 的 算 力 叶 
几何 级 数 快速 增长 ， 上 述 这 些 理论 上 可 行 的 攻击 场景 ， 实 际 操作 起 来 已 经 越 来 越 困 难 。 


近期 比特 币 系 统 的 一 些 升 级 ， 比 如 由 在 进一步 将 挖 矿 控制 去 中 心 化 的 P2Pool 挖 矿 协 议 ， 也 都 
正在 让 这 些 理论 上 可 行 的 攻击 变 得 越 来 越 困难 。 毫 无 疑问 ， 一 次 严重 的 共识 攻击 事件 势必 会 
降低 人 们 对 比特 币 系统 的 信心 ， 进 而 可 能 导致 比特 币 价格 的 跳水 。 然 而 ， 比 特 币 系统 和 相关 
软件 也 一 直 在 持续 改进 ， 所 以 比特 币 社区 也 势必 会 对 任何 一 次 共识 攻击 快速 做 出 响应 ， 以 使 
整个 比特 币 系统 比 以 往 更 加 稳健 和 可 靠 。 
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共识 规则 确定 交易 和 块 的 有 效 性 。 这 些 规 则 是 所 有 比特 币 节点 之 间 协 作 的 基础 ， 并 且 负 责 将 
所 有 不 同 角 色 的 本 地 视角 融合 到 整个 网 络 中 的 单一 一 致 的 区 块 链 中 。 虽 然 共识 规则 在 短期 内 
是 不 变 的 ， 并 且 在 所 有 节点 之 间 必 须 一 致 ， 但 长 期 来 看 它们 并 不 总 是 不 变 的 。 为 了 演进 和 开 


发 比特 币 系统 ， 规 则 必须 随时 改变 以 适应 新 功能 ， 改 进 或 修复 错误 。 然而 ， 与 传统 软件 开发 
不 同 ， 升 级 到 共识 系统 要 困难 得 多 ， 需 要 所 有 参与 者 之 间 的 协调 。 


10.13.1 硬 分 又 


在 前 面 章 节 比 特 币 分 又 中 ， 我 们 研究 了 比特 币 网 络 如 何 短暂 地 分 又 ， 网 络 中 的 两 个 部 分 在 短 
时 间 内 处 于 区 块 链 的 两 个 不 同 分 支 。 我 们 看 到 这 个 过 程 是 如 何 自然 发 生 的 ， 作 为 网 络 的 正常 
运行 的 一 部 分 ， 以 及 如 何在 一 个 或 多 个 块 被 挖掘 之 后 ， 网 络 在 一 个 统一 的 区 块 链 上 重新 收 
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另 一 种 情况 是 ， 网 络 也 可 能 会 分 又 到 两 条 链条 ， 这 是 由 于 共识 规则 的 变化 。 这 种 分 又 称 为 硬 
分 又 ， 因 为 这 种 分 又 后 ， 网 络 不 会 重新 收敛 到 单个 链 路 上 。 相 反 ， 这 两 条 链子 独立 发 展 。 当 
比特 币 网 络 的 一 部 分 节点 按照 与 网 络 的 其 余部 分 节点 不 同 的 一 致 性 规则 运行 时 ， 硬 分 又 就 会 
发 生 。 

这 可 能 是 由 于 错误 或 者 由 于 故意 改变 了 协商 一 致 规则 的 实施 而 发 生 的 。 硬 分 又 可 用 于 改变 共 
识 的 规则 ， 但 需要 在 系统 中 所 有 参与 者 之 间 进 行 协调 。 没 有 升级 到 新 的 共识 规则 的 任何 节点 
都 不 能 参与 共识 机 制 ， 并 且 在 硬 分 又 时 刻 被 强制 到 单独 的 链 上 。 


因此 ， 硬 分 又 引入 的 变化 可 以 被 认为 不 是 “向 前 兼容 *， 因 为 未 升级 的 系统 不 能 再 处 理 新 的 共识 
规则 。 让 我 们 来 看 一 下 硬 分 又 的 技巧 和 具体 的 例子 。 下 图 10-9 显 示 区 块 链 出 现 两 个 分 又 。 在 
块 高 度 4 处 ， 发 生 单一 个 区 块 分 又 。 这 是 我 们 在 前 面 章节 比特 币 分 又 中 看 到 的 自发 分 又 的 类 
型 。 经 过 块 5 的 挖掘 ， 网 络 在 一 条 链 上 重新 收 化， 分 又 被 解决 。 





然而 ， 后 来 在 块 高 度 6 处 发 生 了 硬 分 又 。 我 们 假设 原因 是 由 于 新 共识 规则 的 变化 出 现 新 的 客户 
端 版 本 。 从 块 高 度 7 开 始 ， 矿 工 运行 新 的 版 本 ， 需 要 接受 新 类 型 的 数字 签名 ， 我 们 称 之 

为 *Smores” 签 名 ， 它 不 是 基于 ECDSA 的 签名 。 紧 接着 ， 运 行 新 版 本 的 节点 创建 了 一 笔 包含 
Smores 签 名 的 交易 ， 一 个 更 新 了 软件 的 矿工 挖 矿 出 了 包含 此 交易 的 区 块 7b。 


任何 尚未 升级 软件 以 验证 Smores 签 名 的 节点 或 矿工 现在 都 无 法 处 区 块 7b。 从 他 们 的 角度 来 
看 ， 包 含 Smores 签 名 的 交易 和 包含 该 交易 的 块 7b 的 交易 都 是 无 效 的 ， 因 为 它们 是 根据 日 的 共 
识 规则 进行 评估 的 。 


这 些 节点 将 拒绝 该 笔 交易 和 区 块 ， 并 且 不 会 传播 它们 。 正 在 使 用 百 规 则 的 任何 矿工 都 不 接受 
块 7b， 并 且 将 继续 挖 气 其 父 级 为 块 6 的 候选 块 。 实 际 上 ， 使 用 如 果 它 们 连接 的 所 有 节点 都 是 也 
遵守 中 的 规则 ， 遵 守旧 规则 的 矿工 甚至 可 能 接收 不 到 块 7b， 因 此 不 会 传播 这 个 区 块 。 最 终 ， 
他 们 将 能 够 开采 区 块 7a， 这 个 昌 的 规则 是 有 效 的 ， 其 中 不 包含 与 Smores 签 名 的 任何 交易 。 


这 两 个 链条 从 这 一 点 继续 分 歧 。“b” 链 的 矿工 将 继续 接受 并 开采 含有 Smores 签 名 的 交易 ， 

而 "a" 链 上 的 矿工 将 继续 忽视 这 些 交易 。 即 使 块 8b 不 包含 任何 Smores 签 名 的 交易 ，“a” 链 上 的 
矿工 也 无 法 处 理 。 对 他 们 来 说 ， 它 似乎 是 一 个 孤立 的 块 ， 因 为 它 的 父 “7b" 不 被 识别 为 一 个 有 效 
的 块 。 


10.13.2 硬 分 又 : 软件 ， 网 络 ， 采 矿 和 链 


对 于 软件 开发 人 员 来 说 ， 术 语 “ 分 又 "具有 另 一 个 含义 ， 对 " 硬 分 又 "一 词 增加 了 混淆 。 在 开源 软 
件 中 ， 当 一 组 开发 人 员 选 择 遵循 不 同 的 软件 路 线 图 并 启动 开源 项 目的 竞争 实施 时 ， 会 发 生 
又 。 我 们 已 经 讨论 了 两 种 情况 ， 这 将 导致 硬 分 又 : 共识 规则 中 的 错误 ， 以 及 对 共识 规则 的 故 
意 修改 。 在 故意 改变 共识 规则 的 情况 下 ， 软 件 又 在 硬 分 又 之 前 。 但 是 ， 对 于 这 种 类 型 的 硬 分 
又 ， 新 的 共识 规则 必须 通过 开发 ， 采 用 和 局 动 新 的 软件 实现 。 


试图 改变 共识 规则 的 软 分 又 的 例子 包括 Bitcoin XT > Bitcoin Classic 和 最近 的 Bitcoin 
Unlimited。 但 是 ， 这 些 软 分 又 都 没有 产生 硬 分 又 。 虽 然 软件 又 是 一 个 必要 的 前 提 条 件 ， 但 它 
本 身 不 足以 发 生硬 分 又 。 对 于 硬 分 又 发 生 ， 必 须 是 由 于 采取 相互 竞争 的 实施 方案 ， 并 且 规 则 
需要 由 矿工 ， 钱 包 和 中 间 节 点 激活 。 相 反 ， 有 许多 比特 币 核心 的 替代 实现 方案 ， 其 至 还 有 软 
分 又 ， 这 些 没有 改变 共识 规则 ， 阻 止 发 生 错 误 ， 可 以 在 网 络 上 共存 并 互 操作 ， 最 终 并 未 导致 
硬 分 又 。 


不 同 的 共识 规则 在 交易 或 块 的 验证 中 会 以 明确 的 和 清晰 的 方式 有 所 不 同 。 这 种 差别 可 能 以 微 

妙 的 方式 表现 ， 比 如 共识 规则 适用 于 比特 币 脚 本 或 加 密 原 语 (如 数字 签名 ) 时 。 最 后 ， 共 识 

规则 的 差别 还 可 能 会 由 于 意料 之 外 的 方式 ， 比 如 由 于 系统 限制 或 实现 细节 所 产生 的 隐 含 共识 

约束 。 在 将 Bitcoin Core 0.7 升 级 到 0.8 之 前 的 意料 之 中 的 硬 分 又 中 看 到 了 后 者 的 一 个 例子 ， 这 
是 由 于 用 于 存储 块 的 Berkley DB 实现 的 限制 引起 的 。 


从 概念 上 讲 ， 我 们 可 以 将 硬 分 又 子 看 成 四 个 阶段 : 软 分 又 ， 网 络 分 又 ， 挖 矿 分 又 和 区 块 链 分 
又 。 该 过 程 开 始 于 开发 人 员 创 建 的 客户 端 ， 这 个 客户 端 对 共识 规则 进行 了 修改 。 当 这 种 新 版 
本 的 客户 端 部 署 在 网 络 中 时 ， 一 定 百分比 的 矿工 ， 钱 包 用 户 和 中 间 节 点 可 以 采用 并 运行 该 版 
本 客户 端 。 得 到 的 分 又 将 取决 于 新 的 共识 规则 是 否 适 用 于 区 块 ， 交易 或 系统 其 他 方面 。 如 果 
新 的 共识 规则 与 交易 有 关 ， 那 么 当 交 易 被 挖 握 成 一 个 块 时 ， 根 据 新 规则 创建 交易 的 钱包 可 能 
会 产生 出 一 个 网 络 分 又 ， 这 就 是 一 个 硬 分 又 。 如 果 新 规则 与 区 块 有 关 ， 那 么 当 一 个 块根 据 新 
规则 被 挖 气 时 ， 硬 分 又 进程 将 开始 。 


首先 ， 是 网 络 分 又 。 基 于 旧 的 共识 规则 的 节点 将 拒绝 根据 新 规则 创建 的 任何 交易 和 块 。 此 
外 ， 遵 循 昌 的 共识 规则 的 节点 将 暂时 禁止 和 断 开发 送 这 些 无 效 交 易 和 块 的 任何 节点 。 因 此 ， 
网 络 将 分 为 两 部 分 > 加 节点 将 只 保留 连接 到 加 节点 ， 新 节点 只 能 连接 到 新 节点 。 基 于 新 规则 
的 单个 交易 或 块 将 通过 网 络 波动 ， 实 现 分 区 ， 导 致 出 现 两 个 网 络 。 

一 旦 使 用 新 规则 的 矿工 开采 了 一 个 块 ， 挖 矿 和 区 块 链 也 将 分 又 。 新 的 矿工 将 在 新 区 块 之 上 控 
气 ， 而 老 矿工 将 根据 昌 的 规则 挖掘 一 个 单独 的 链条 。 处 于 分 区 的 网 络 将 使 得 按照 各 自 共识 规 
则 运行 的 矿工 将 不 会 接收 彼此 的 块 ， 因 为 它们 连接 到 两 个 单独 的 网 络 。 


10.13.3 分 离 矿 工 和 难度 


随 着 矿工 们 被 分 裂 开 始 开 采 两 条 不 同 的 链条 ， 链 上 的 哈 希 算 力 也 被 分 裂 。 两 个 链 之 间 的 控 矿 
能 力 可 以 分 成 任意 比例 。 新 的 规则 可 能 只 有 少数 人 跟随 ， 或 者 也 可 能 是 绝 大 多 数 矿 工 。 


我 们 假设 ， 例 如 ，80%-20% 的 分 割 ， 大 多 数 迫 矿 能 力 使 用 新 的 共识 规则 。 我 们 还 假设 分 又 在 
改变 目标 (retarget) 后 立即 出 现 。 这 两 条 链 将 从 改变 目标 之 后 各 自 接 受 自己 的 难度 。 新 的 共 
识 规 则 拥有 80% 的 以 前 可 用 的 挖 矿 权 的 承诺 。 从 这 个 链 的 角度 来 看 ， 与 上 一 周期 相 比 ， 控 矿 

能 力 突然 下 降 了 20%。 区 块 将 会 平均 每 12 分 钟 发 现 一 次 ， 这 意味 着 可 以 扩大 这 条 链 的 挖 矿 能 
力 下 降 了 20%。 这 个 块 发 行 速度 将 持续 下 去 (除非 有 任何 改变 哈 希 功率 的 因素 出 现 ) ， 直 到 

2016 块 开采 ， 这 将 需要 大 约 24,192 分 钟 (每 个 块 需要 12 分 钟 ) 或 16.8 天 。 16.8 天 后 ， 基 于 此 
链 中 哈 希 算 力 的 减少 ， 改 变 目标 将 再 次 发 生 ， 并 将 难度 调整 (减少 20%) 每 10 分 钟 产 生 一 个 
区 块 。 


少数 人 认可 的 那 条 链 ， 根 据 旧 规则 继续 挖 矿 ， 现 在 只 有 209% 的 哈 希 算 力 ， 将 面临 更 加 艰巨 的 
任务 。 在 这 条 链 上 ， 平 均 每 隔 50 分 钟 开 采 一 次 。 这 个 难度 将 不 会 在 2016 个 块 之 前 进行 调整 ， 
这 将 需要 100,800 分 钟 ， 或 大 约 10 周 的 时 间 。 假 设 每 个 块 具 有 固定 容量 ， 这 也 将 导致 交易 容量 
减少 5 倍 ， 国 为 每 小 时 可 用 于 记录 交易 的 块 大 幅 减 少 了 。 


10.13.44 4 3 ay aL 


这 是 共识 软件 开发 的 黎明 。 正 如 开源 开发 改变 了 软件 的 方法 和 产品 ， 创 造 了 新 的 方法 论 ， 新 
工具 和 新 社区 ， 共 识 软 件 开发 也 代表 了 计算 机 科学 的 新 前 沿 。 在 比特 币 发 展 路 线 图 的 辩论 ， 
实验 和 纠结 之 中 ， 我 们 将 看 到 新 的 开发 工具 ， 实 践 ， 方 法 和 社区 的 出 现 。 硬 分 又 被 视 为 有 风 
险 ， 因 为 它们 连 使 少数 人 被 迫 选择 升级 或 是 必须 保留 在 少数 派 链 条 上 。 将 整个 系统 分 为 两 个 
竞争 系统 的 风险 被 许多 人 认为 是 不 可 接受 的 风险 。 结 果 ， 许 多 开发 人 员 不 愿 使 用 硬 分 又 机 制 
来 实现 对 共识 规则 的 升级 ， 除 非 整 个 网 络 都 能 达成 一 致 。 


任何 没有 被 所 有 人 支持 的 硬 分 叉 建议 也 被 认为 是 “有 争议 "的 ， 不 愿 冒 险 分 裂 系统 。 硬 分 又 的 问 
题 在 比特 币 开发 社区 也 是 非常 有 争议 的 ， 尤 其 是 与 控制 区 块 大 小 限制 的 共识 规则 的 任何 提议 
相关 。 一 些 开发 商 反 对 任何 形式 的 硬 又 ， 认 为 它 太 冒险 了 。 另 一 些 人 认为 硬 分 又 机 制 是 提升 
共识 规则 的 重要 工具 ， 训 免 了 "技术 债务 ”， 并 与 过 去 提供 了 一 个 干净 的 了 断 。 

最 后 ， 有 些 开 发 商 看 到 硬 分 又 作为 一 种 应 该 很 少 使 用 的 机 制 ， 应 该 经 过 认 昌 的 计划 ， 并 且 只 
有 在 近乎 一 致 的 共识 下 才 建 议 使 用 。 我 们 已 经 看 到 出 现 了 新 的 方法 来 解决 硬 分 又 的 危险 。 在 
下 一 节 中 ， 我 们 将 看 一 下 软 分 又 ， 以 及 BIP-34 和 BIP-9 信 号 和 激活 共识 修改 的 方法 。 


10.13.5 软 分 又 


并 非 所 有 共识 规则 的 变化 都 会 导致 硬 分 又 。 只 有 前 向 不 兼容 的 共识 规则 的 变化 才 会 导致 分 
又 。 如 果 共 识 规则 的 改变 也 能 够 让 未 修改 的 客户 端 仍 然 按照 先前 的 规则 对 待 交易 或 者 区 块 ， 
那么 就 可 以 在 不 进行 分 又 的 情况 下 实现 共识 修改 。 这 就 是 软 分 又 ， 来 区 分 之 前 的 硬 分 又 。 实 


际 上 软 分 又 不 是 分 又 。 软 分 又 是 与 共识 规则 的 前 向 兼容 并 作 些 变化 ， 人 允许 未 升级 的 客户 端 程 
序 继续 与 新 规则 同时 工作 。 


软 分 又 的 一 个 不 是 很 明显 的 方面 就 是 ， 软 分 又 级 只 能 用 于 增加 共识 规则 约束 ， 而 不 是 扩展 它 
们 。 为 了 向 前 兼容 ， 根 据 新 规则 创建 的 交易 和 块 也 必须 在 昌 规 则 下 有 效 ， 但 是 反之 亦 然 。 新 
规则 只 能 增加 限制 ， 否 则 ， 根 据 昌 规则 创建 的 交易 和 区 块 被 拒绝 时 ， 还 是 会 将 触发 硬 分 又 。 


软 叉 可 以 通过 多 种 方式 实现 ， 该 术语 不 定义 单一 方法 ， 而 是 一 组 方法 ， 它 们 都 有 一 个 共同 
点 : 它们 不 要 求 所 有 节点 升级 或 强制 非 升 级 节点 必须 脱离 共识 。 


10.13.5.1 软 分 又 重新 定义 NOP 操 作 三 


基于 NOP 操 作 码 的 重新 解释 ， 在 比特 币 中 实现 了 一 些 软 分 又 。 Bitcoin 脚 本 有 10 个 操作 码 保 留 
供 将 来 使 用 ，NOP1 到 NOP10。 根据 共识 规则 ， 这 些 操作 码 在 脚本 中 的 存在 被 解释 为 无 效 的 
运算 符 ， 这 意味 着 它们 没有 任何 效果 。 在 NOP 操 作 码 之 后 继续 执行 ， 就 好 像 它 不 存在 一 样 。 
因此 ， 软 又 可 以 修改 NOP 代 码 的 语义 给 它 新 的 含义 。 


例如 ，BIP-65 (CHECKLOCKTIMEVERIFY ) 重新 解释 了 NOP2 操 作 码 。 实施 BIP-65 的 客户 
将 NOP2 解 释 为 OP_CHECKLOCKTIMEVERIFY， 并 在 其 锁定 脚本 中 包含 该 操作 码 的 UTXO 
上 ， 强 制 了 绝对 锁定 的 共识 规则 。 这 种 变化 是 一 个 软 分 又 ， 因 为 在 BIP-65 下 有 效 的 交易 在 任 
何 没 有 实现 (不 了 解 ) BIP-65 的 客户 端 上 也 是 有 效 的。 对 于 旧 的 客户 端 ， 该 脚本 包含 一 个 
NOP 代 码 ， 这 被 忽略 。 


10.13.5.2 其 他 方式 软 分 又 升级 


NOP 操 作 码 的 重新 解释 既是 计划 的 ， 也 是 共识 升级 的 明显 机 制 。 然 而 ， 最 近 ， 引 入 了 另 一 种 
软 分 又 机 制 ， 其 不 依赖 于 NOP 操 作 码 ， 用 于 非常 特定 类 型 的 共识 改变 。 这 在 隔离 见证 掌 机 
[segwit] 中 有 更 详细 的 检查 。 Segwit 是 一 个 交易 结构 的 体系 结构 变化 ， 它 将 解锁 脚本 (见证) 
从 交易 内 部 移动 到 外 部 数据 结构 (将 其 隔离 ) 。 


Segwit 最 初 被 设想 为 硬 分 又 升级 ， 因 为 它 修 改 了 一 个 基本 的 结构 (RA) 。 在 2015 年 11 月 ， 
一 位 从 事 比特 币 核心 工作 的 开发 人 员 提 出 了 一 种 机 制 ， 通 过 这 种 机 制 ， 可 以 将 软件 包 引 入 
segwit。 用 于 此 的 机 制 是 在 segwit 规 则 下 创建 的 UTXO 的 锁定 脚本 的 修改 ， 使 得 未 修改 的 客户 
端 将 任何 解锁 脚本 视 为 可 锁定 脚本 。 


因此 ， 可 以 引入 segwit 就 是 软 分 又 ， 而 不 需要 每 个 节点 必须 从 链 上 升级 或 拆 分 网 络 。 有 可 能 还 
有 其 他 尚未 被 发 现 的 机 制 ， 通 过 这 种 机 制 可 以 以 向 前 兼容 的 方式 进行 升级 ， 都 作为 软 分 又 。 
10.13.6 对 软 分 又 的 批评 


基于 NOP 操 作 码 的 软 分 又 是 相对 无 争议 的 。NOP 操 作 码 被 放置 在 比特 币 脚本 中 ， 明 确 的 目标 
是 允许 无 中 断 升级 。 然 而 ， 许 多 开发 人 员 担 心软 分 又 升级 的 其 他 方法 会 产生 不 可 接受 的 折 
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对 软 分 又 更 改 的 常见 批评 包括 : 
e. 技术 性 债务 


由 于 软 又 在 技术 上 上 比 硬 又 升级 更 复杂 ， 所 以 引入 了 技术 性 债务 ， 这 是 指 由 于 过 去 的 设计 权衡 
而 增加 代码 维护 的 未 来 成 本 。 代 码 复 杂 性 又 增加 了 错误 和 安全 漏洞 的 可 能 性 。 


e 了 验证 放松 


未 经 修改 的 客户 端 将 交易 视 为 有 效 ， 而 不 评估 修改 的 共识 规则 。 实 际 上 ， 未 经 修改 的 客户 端 
不 会 使 用 全 面 的 协商 一 致 的 规则 来 验证 ， 因 为 它们 对 新 规则 无 视 。 这 适用 于 基于 NOP 的 升 
级 ， 以 及 其 他 软 分 又 升级 。 


。 不 可 逆转 升级 


因为 软 分 又 产生 额外 的 共识 约束 的 交易 ， 所 以 它们 在 实践 中 成 为 不 可 逆转 的 升级 。 如 果 软 分 
又 升级 在 被 激活 后 被 回 退 ， 根 据 新 规则 创建 的 任何 交易 都 可 能 导致 日 规则 下 的 资金 损失 。 例 
如 ， 如 果 根 据 昌 规则 对 CLTV 交 易 进 行 评估 ， 则 不 存在 任何 时 间 锁 定 约束 ， 并 且 可 以 花费 在 任 
何 时 间 。 因 此 ， 评 论 家 认为 ， 由 于 错误 而 不 得 不 被 回 退 的 失败 的 软 分 又 几乎 肯定 会 导致 资金 
的 流失 。 


10.14 使 用 区 块 版 本 发 出 软 分 又 信和 号 


由 于 软 分 又 允许 未 经 修改 的 客户 在 协商 一 致 的 情况 下 继续 运作 ，" 激 活 ? 软 分 又 的 机 制 是 通过 向 
矿工 发 出 信号 准备 : 大 多 数 矿工 必 须 同意 他 们 准备 并 愿意 执行 新 的 共识 规则 。 为 了 协调 他 们 
的 行动 ， 有 一 个 信号 机 制 ， 使 他 们 能 够 表达 他 们 对 共识 规则 改变 的 支持 。 该 机 制 是 在 2013 年 
3 月 激活 BIP-34 并 在 2016 年 7 月 被 BIP-9 激 活 所 取代 。 


10.14.1 BIP-34 信 号 和 激活 


在 BIP-34 中 的 第 一 个 实施 使 用 块 版 本 字段 来 允许 矿工 表示 准备 达成 特定 的 共识 规则 更 改 。 在 
BIP-34 之 前 ， 按 照 惯例 将 块 版 本 设 定 为 “1”， 而 不 是 以 共识 方式 执行 。BIP-34 定 义 了 一 个 共识 
规则 变更 ， 要 求 将 Coinbase 交 易 的 coinbade 字 段 〈 输 入 ) 包含 块 高 度 。 在 BIP-34 之 前 ， 
Coinbase 可 以 让 矿工 选择 包含 的 任意 数据 。 在 BIP-34 激 活 之 后 ， 有 效 块 必须 在 Coinbase 的 开 
始 处 包含 特定 的 块 高 度 ， 并 且 使 用 大 于 或 等 于 “2” 的 版 本 号 进行 标识 。 


为 了 标记 BIP-34 的 更 改 和 激活 ， 矿 工 们 将 块 版 本 设置 为 “2” 而 不 是 “1”。 这 没有 立即 使 版 本 “1” 抉 
无 效 。 一 旦 激活 ， 版 本 "1” 块 将 变 得 无 效 ， 并 且 将 需要 所 有 版 本 “2” 块 以 包含 Coinbase 库 中 的 块 
高 度 才 能 有 效 。 

BIP-34 基 于 1000 个 块 的 滚动 窗口 定义 了 两 步 启 动机 制 。 矿 工 将 以 “2” 作 为 版 本 号 来 构建 块 ， 从 
而 向 BIP-34 发 出 信号 。 严 格 来 说 ， 由 于 共识 规则 尚未 被 激活 ， 这 些 区 块 还 没有 遵守 新 的 共识 
规则 ， 也 就 是 将 块 高 度 包括 在 Coinbase 交 易 中 。 


共识 规则 分 为 两 个 步骤 激活 : 


如 果 75% (最 近 1000 个 块 中 的 750 个 ) 标 有 版 本 “2”， 则 版 本 “2” — 包含 co 
块 高 度 ， 否 则 被 拒绝 为 无 效 。 版 本 “1” 块 仍然 被 网 络 接受 ， 不 需要 包含 块 高 度 。 这 个 新 时 期 的 
新 旧 共 识 规则 共存 。 


当 95% (最 近 1000 块 中 的 950) 是 版 本 “2” 时 ， 版 本 “1” 抉 不 再 被 视 为 有 效 。 版 本 "2" 块 只 有 当 
它们 包含 coinbase 中 的 块 高 度 (AR ARM) 时 才 有 效 。 此 后 ， 所 有 块 必须 符合 新 的 一 致 
性 规则 ， 所 有 有 效 块 必 须 包 含 coinbase 交 易 中 的 块 高 度 。 根 据 BIP-34 规 则 成 功 发 信号 和 激活 
后 ， 该 机 制 再 次 使 用 两 次 以 激活 软 分 又 : BIP-66 标 签 的 严格 DER 编码 通过 BIP-34 信 号 通过 块 
版 本 "3" 激活， 无 效 版 本 “2” 块 。BIP-65 CHECKLOCKTIMEVERIFY 被 块 版 本 “4” 的 BIP-34 信 号 
激活 ， 无 效 版 本 “3” 块 。 


BIP-65 激 活 后 ，BlIP-34 的 信号 和 激活 机 制 退出 ， 并 用 下 面 描述 的 BIP-9 信 号 传导 机 制 代替 。 这 
个 标准 在 BIP-34(Block v2, Height in Coinbase) 中 定义 。 


10.14.2 BIP-9 信 号 和 激活 


BIP-34，BIP-66 和 BIP-65 使 用 的 机 制 成 功 地 激活 了 三 个 软 分 又 。 然而 ， 它 又 被 蔡 换 了 ， 因 为 
它 有 几 个 限制 : 


通过 使 用 块 版 本 的 整数 值 ， 一 次 只 能 激活 一 个 软 分 又 ， 因 此 需要 软 分 又 提议 之 间 的 协调 以 及 
对 其 优先 级 和 排序 的 协议 。 


此 外 ， 由 于 块 版 本 增加 ， 所 以 机 制 并 没有 提供 一 种 直接 的 方式 来 拒绝 变更 ， 而 是 提出 一 个 不 
同 的 方法 。 如 果 老 客户 仍然 在 运行 ， 他 们 可 能 会 错误 地 将 信号 转换 为 新 的 更 改 ， 作 为 以 前 拒 
绝 的 更 改 的 信号 。 


每 个 新 的 更 改 不 可 逆转 地 减少 可 用 的 供 将 来 更 改 的 块 版 本 。 
提出 BIP-9 来 克服 这 些 挑 战 ， 提 高 实施 未 来 变化 的 速度 和 便利 性 


BIP-9 将 块 版 本 解释 为 bit 字 段 而 不 是 整形 (int) 字段 。 因 为 块 版 本 最 初 作为 整形 (int32) F 
段 ， 因 此 版 本 1 到 4， 只 有 29 位 可 用 作 bit 字 段 。 这 留 下 29 位 ， 可 以 独立 使 用 ， 同 时 在 29 个 不 同 
的 提案 上 表示 准备 就 绪 。BlIP-9 还 设置 了 信 令 和 激活 的 最 大 时 间 。 矿 工 们 不 需要 永远 发 出 信 
号 。 如 果 提 案 在 TIMEOUT 期 间 〈 在 提案 中 定义 ) 未 激活 ， 则 该 提案 被 视 为 被 拒绝 。 该 提议 可 
以 使 用 不 同位 的 信 令 重新 提交 ， 更 新 激活 周期 。 


此 外 ， 在 TIMEOUT 已 经 过 去 并 且 特 征 被 激活 或 被 拒绝 之 后 ， 信 令 位 可 以 被 再 次 用 于 另 一 个 特 
征 而 不 会 混淆 。 因 此 ， 多 达 29 次 更 改 可 以 并 行 发 出 信号 ，TIMEOUT 后 可 将 这 些 位 “再 循环 ”以 
提出 新 的 更 改 。 


注意 虽然 信 令 位 可 以 重复 使 用 或 回收 利用 ， 但 只 要 投票 期 间 不 重重 ，BlP-9 的 作者 就 建议 仅 在 
必要 时 重复 使 用 位 ; 主要 是 由 于 四 软件 中 的 bug， 可 能 会 发 生意 外 的 行为 。 总之， 我 们 不 应 该 
期 望 在 所 有 29 位 都 被 使 用 一 次 之 前 看 到 重用 。 


建议 的 更 改 由 包含 以 下 字段 的 数据 结构 标识 : 名 称 用 于 区 分 提案 的 简短 描述 。 通常，BIP 将 该 
提案 描述 为 “bipN”"， 其 中 N 是 BIP 编 号 。 位 0 到 28， 矿 工 使 用 的 块 版 本 中 的 位 用 于 表示 此 提案 的 
批准 。 开 始 时 间 信 号 开始 的 时 间 (基于 中 值 时 间 过 去 或 MTP) ， 之 后 该 位 的 值 被 解释 为 提示 
的 信 令 准备 。 时 间 结 束 该 时 间 (基于 MTP) ， 如 果 尚 未 达到 激活 阅 值 ， 则 认为 该 更 改 被 拒 
绝 。 


与 BIP-34 不 同 ，BIP-9 根 据 2016 块 的 难度 改变 目标 (retarget) 周期 ， 在 整个 间隔 中 计数 激活 

信号 。 对 于 每 个 改变 目标 期 间 ， 如 果 提 案 的 信号 块 的 总 和 超过 959%6 (2016 中 的 1916) > MŽ 
提案 将 在 稍 后 的 改变 目标 期 间 激 活 。BIP-9 提 供 了 一 个 提案 状态 图 ， 以 说 明 一 个 提案 的 各 个 阶 
段 和 转换 ， 如 图 10-10 所 示 。 







timeout <= MTP 


starttime <= MTP < timeout FAILED J) 
fji STARTED 


(MTP < timeout) AND (threshold reached) 









timeout <= MTP 


LOCKED IN 





ACTIVE 





一 旦 它们 的 参数 在 比特 币 软 件 中 被 知道 (定义) ， 提 案 将 在 DEFINED 状 态 下 开始 。 对 于 具有 
MTP 的 块 在 开始 时 间 之 后 ， 提 议 状 态 转换 到 STARTED 。 如 果 在 改变 目标 期 间 超 过 了 投票 浆 
值 ， 并 且 未 超过 超时 ， 则 提案 状态 转换 为 LOCKED_IN。 一 个 改变 目标 期 后 ， 该 提案 变 为 活 
Apo 

一 旦 达到 这 个 状态 ， 提 案 仍 然 处 于 活动 状态 。 如 果 在 达到 投票 阅 值 之 前 超时 时 间 ， 提 案 状 态 
将 更 改 为 “已 故 ”， 表 示 已 拒绝 的 提案 。REJECTED 的 建议 永远 在 这 个 状态 。BIP-9 首 次 实施 用 
于 激活 CHECKSEQUENCEVERIFY 和 相关 BIP (68,112,113) ° 名 为 “csv" 的 建议 在 2016 年 7 
月 成 功 启动 。 标 准 定义 在 BIP-9(Version bits with timeout and delay). 


10.15 共 识 软 件 开 发 


共识 软件 开发 不 断 发 展 ， 对 于 改变 共识 规则 的 各 种 机 制 进行 了 很 多 讨论 。 由 于 其 本 质 ， 比 特 
币 在 协调 和 变化 共识 方面 树立 了 非常 高 的 标杆 。 作 为 一 个 去 中 心 化 的 制度 ， 不 存在 将 权力 强 
加 于 网 络 参 与 者 的 “权威 "。 权 力 分 散在 多 个 支持 者 ， 如 矿工 ， 核 心 开发 商 ， 钱 包 开 发 商 ， 交 易 
所 ， 商 家 和 最 终 用 户 之 间 。 这 些 支持 者 不 能 单方 面 做 出 决定 。 例 如 ， 矿 工 在 理论 上 可 以 通过 
简单 多 数 (5196) 来 改变 规则 ， 但 受到 其 他 支持 者 的 同意 的 限制 。 


如 果 他 们 单方 面 行事 ， 其 他 参与 者 可 能 会 拒绝 遵守 ， 将 经 济 活动 保持 在 少数 链条 上 。 没 有 经 
济 活动 (交易 ， 商 人 ， 钱 包 ， 交 易 所 ) ， 矿 工 们 将 用 空 的 块 开采 一 个 无 价值 的 货币 。 这 种 权 
力 的 扩散 意味 着 所 有 参与 者 必须 协调 ， 或 者 不 能 做 出 任何 改变 。 现 状 是 这 个 制度 的 稳定 状 
态 ， 只 有 在 很 大 程度 上 达成 一 致 的 情况 下 ， 才 能 有 几 个 变化 。 软 分 又 的 95% 门 槛 反映 了 这 一 
现实 。 


重要 的 是 要 认识 到 ， 对 于 共识 发 展 没 有 完美 的 解决 办 法 。 硬 分 又 和 软 分 又 都 涉及 权衡 。 对 于 
某 些 类 型 的 更 改 ， 软 分 又 可 能 是 一 个 更 好 的 选择 ;对 于 别人 来 说 ， 硬 分 又 可 能 是 一 个 更 好 的 选 
择 。 没 有 完美 的 选择 ， 都 带 有 风险 。 共 识 软件 开发 的 一 个 不 变 特 征 是 变革 是 困难 的 ， 是 共识 
力量 的 妥协 。 有 些 人 认为 这 是 共识 制度 的 弱点 。 在 时 间 上 ， 你 可 以 像 我 一 样 看 到 它 ， 把 它 当 
作 这 个 系统 最 大 的 优势 。 


保全 比特 币 是 很 有 挑战 性 的 事 ， 因 为 比特 币 不 像 银 行 账户 余额 那样 体现 抽象 价值 。 比 特 币 其 
实 更 像 数 字 现 金 或 黄金 。 你 可 能 听 过 这 样 的 说 法 ，“ 谁 持 有 几乎 等 同 法 律 拥有 。" 好 吧 ， 在 比 
特 币 的 世界 里 ， 谁 持 有 谁 拥有 。 持 有 拥有 解锁 比特 币 的 密 铀 就 相当 于 持 有 现金 或 一 块 贵重 金 
属 。 你 可 能 会 将 密 钥 丢失 ， 会 放 错 地 方 ， 会 被 盗 或 者 不 小 心 错 支 了 数额 。 无 论 是 哪 种 场景 ， 

用 户 都 没有 办 法 撤回 ， 因 为 这 就 像 是 将 现金 委 在 了 车 水 马龙 的 大 街 上 。 


不 过 ， 与 现金 、 黄 金 或 者 银行 账户 相 比 ， 比 特 币 有 着 一 个 独一无二 的 优势 。 你 不 能 “备份 "你 的 
现金 、 黄 金 或 者 银行 账户， 但 你 可 以 像 备 份 其 他 文件 一 样 ， 备 份 含有 密 钥 的 比特 币 钱包 。 它 
可 以 被 复制 成 很 多 份 ， 放 到 不 同 的 地 方 保存 起 来 ， 甚 至 能 打印 到 纸 上 进 行 实体 备份 。 比 特 币 
与 至 今 为 止 的 其 他 货币 是 如 此 不 同 ， 以 致 于 我 们 需要 以 一 种 全 新 的 思维 方式 来 衡量 比特 币 的 
安全 性 。 


11.1 安全 准则 


比特 币 的 核心 准则 是 去 中 心 化 ， 这 一 点 对 安全 性 具有 重要 意义 。 在 中 心 化 的 模式 下 ， 例 如 传 
统 的 银行 或 支付 网 络 ， 需 要 依赖 于 访问 控制 和 审查 制度 将 不 良 行为 者 拒 之 门 外 。 相 比 之 下 ， 
比特 币 这 样 的 去 中 心 化 系统 则 将 责任 和 控制 权 都 移交 给 了 用 户 。 
作 量 证 明 而 非 访 问 控制 ， 比 特 币 网 络 可 以 对 所 有 人 开放 ， 也 无 需 对 比特 币 传 输 进 行 加 蜜 


在 一 个 传统 的 支付 网 络 中 ， 例 如 信用 卡 系统 ， 支 付 是 终端 开放 式 的 ， 因 为 它 包含 了 用 户 的 个 

人 标识 (信用 卡号 ) 。 在 初次 支付 后 ， 任 何 能 获得 该 标识 的 人 都 可 以 从 所 有 者 那里 反复 “ 提 

取 " 资 金 。 因 此 ， 该 支付 网 络 必须 采取 端 对 端 加 密 的 方式 ， 以 确保 没有 窃听 者 或 中 间 人 可 以 在 

资金 流通 或 存储 过 程 中 将 交易 数据 截获 。 如 果 坏人 获得 该 系统 的 控制 权 ， 他 将 能 破获 当前 的 

的 交易 和 支付 令 牌 ， 他 还 可 以 随意 bee Reo HHL? SE PRERMEN > MEN 

NASI RHRE RANKER o BPN LR LPR UBAKGIKP RABE 
用 于 欺诈 。 


比特 币 则 截然 不 同 ， 一 笔 比特 币 交 易 只 授权 向 指定 接收 方 发 送 一 个 指定 数额 ， 并 且 不 能 被 修 
改 或 伪造 。 它 不 会 透露 任何 个 人 信息 ， 例 如 当事人 的 身份 ， 也 不 能 用 于 权限 外 的 支付 。 因 
此 ， 比 特 币 的 支付 网 络 并 不 需要 加 密 或 防 窃听 保护 。 事 实 上 ， 你 可 以 在 任何 公开 的 网 络 上 广 
播 比特 币 交 易 的 数据 ， 例 如 在 不 安全 的 WIFI 或 蓝牙 网 络 上 公开 传播 比特 币 交 易 的 数据 ， 这 对 
安全 性 没有 任何 影响 。 


比特 币 的 去 中 心 化 安全 模型 很 大 程度 上 将 权力 移交 到 用 户 手 上 ， 随 之 而 来 的 是 用 户 们 保管 好 
密 负 的 责任 。 这 对 于 大 多 数 用 户 来 说 并 非 一 件 易 事 ， 特 别 是 在 像 智能 手机 或 笔记 本 电脑 这 种 
能 能 时 刻 联网 的 通用 设备 上 上。 虽然 比 特 币 的 去 中 心 化 模 型 避免 了 常见 的 信用 卡 盗用 等 情况 ， 
但 很 多 用 户 由 于 无 法 保管 好 密 钥 从 而 被 黑客 攻击 。 


11.1.1 比特 币 系 统 安 全 开发 


对 于 比特 币 开发 者 而 言 最 重要 的 是 去 中 心 化 原则 | 
悉 ， 并 可 能 试图 将 中 心 化 的 模型 运用 到 借鉴 比特 币 的 应 用 中 去 ， 这 将 给 比特 币 带 来 灭顶 之 
灾 o 


比特 币 的 安全 性 依赖 于 密 钥 的 分 散 性 控制 ， 并 且 需 要 矿工 们 各 自 独 立地 进行 交易 验证 。 如 果 
你 想 利用 好 比特 币 的 安全 性 ， 你 需要 确保 自己 处 于 比特 币 的 安全 模型 里 。 简 而 言 之 ， 不 要 将 
用 户 的 密 铀 控制 权 拿 走 ， 不 要 接受 非 区 块 链 交易 信息 。 


如 ， 许 多 早期 的 比特 币 交 易 所 将 所 有 用 户 的 资金 集中 在 一 个 包含 着 私 钥 的 “热钱 包 " 里 ， 并 存 
s 器 上 。 这 样 的 设计 夺取 了 用 户 的 掌控 权 ， 并 将 密 钥 集中 到 单个 系统 里 。 很 多 这 样 的 
系统 都 被 黑客 攻破 了 ， 并 给 客户 带 来 灾难 性 后 果 。 另 一 个 常见 的 错误 是 接受 区 块 链 离线 交 
易 ， 亡 图 减少 交易 费 或 加 速 交 易 处 理 速度 。 一 个 “区 块 链 离 线 交易 "系统 将 交易 数据 记录 在 一 个 


内 部 的 中 心 化 账本 上 ， 然 后 偶尔 将 它们 同步 到 比特 币 区 块 链 中 。 这 种 做 法 ， 再 一 次 ， 用 专制 
和 集中 的 方式 取 代 比 特 币 的 去 中 心 化 安全 模型 。 当 数据 处 于 离线 的 区 块 链 上 的 时 候 ， 保 护 不 
当 的 中 心 化 账本 里 的 资金 可 能 会 不 知 不 觉 被 伪造 、 被 挪用 、 被 消耗 。 


除非 你 是 准备 大 力 投 资 运营 安全 ， 沾 加 多 层 访 问 控制 ， 或 ( 像 传统 的 银行 那样 ) 加 强 审 计 ， 
否则 在 将 资金 从 比特 币 的 去 中 心 化 安全 场景 中 抽 离 出 来 之 前 ， 你 应 该 惯 重 考虑 一 番 。 即 使 你 
有 足够 的 资金 和 纪律 去 实现 一 个 可 靠 的 安全 模型 ， 这 样 的 设计 也 仅仅 是 复制 了 一 个 脆弱 不 
堪 ， 深 受 账户 盗窃 威胁 、 贪 污 和 挪用 公款 困扰 的 传统 金融 网 络 而 已 。 要 想 充 分 利用 比特 币 特 
有 的 去 中 心 化 安全 模型 ， 你 必须 避免 中 心 化 架构 的 常见 诱惑 ， 因 它 最 终 将 推 毁 比 特 币 的 安全 
性 。 


11.1.2 信任 根 


传统 的 安全 体系 基于 一 个 称 为 信任 根 (ROOT OF TRUST) 的 概念 ， 它 指 的 总 体系 统 或 应 用 
程序 中 一 个 可 信赖 的 安全 核心 。 安 全 体系 像 一 圈 同 心 圆 一 样 围绕 着 信任 根源 来 进行 开发 ， 像 
层 层 包 器 的 洋 苞 一 样 ， 信 任 从 内 至 外 依次 延伸 。 每 一 层 都 构建 于 更 可 信 的 内 层 之 上 ， 通 过 访 
问 控制 ， 数 字 签名 ， 加 密 和 其 他 安全 方式 确保 可 信 。 随 着 软件 系统 变 得 越 来 越 复杂 ， 它 们 更 
可 能 出 现 问题 ， 安 全 更 容易 受到 威胁 。 其 结果 是 ， 软 件 系统 变 得 越 复杂 ， 就 越 难 维护 安全 

性 。 信 任 根 的 概念 确保 绝 大 多 数 的 信任 被 置 于 一 个 不 是 过 于 复杂 系统 的 一 部 分 ， 因 此 该 系统 
的 这 部 分 也 相对 坚固 ， 而 更 复杂 的 软件 则 在 它 之 上 构建 。 这 样 的 安全 体系 随 着 规模 扩大 而 不 
断 重复 出 现 ， 首 先 信 任 根 建立 于 单个 系统 的 硬件 内 ， 然 后 将 该 信任 根 通 过 操作 系统 扩展 到 更 
高 级 别 的 系统 服务 ， 最 后 逐次 扩散 到 圈 内 多 台 服 务 器 上 。 


比特 币 的 安全 体系 与 这 不 同 。 在 比特 币 里 ， 共 识 系统 创建 了 一 个 可 信 的 完全 去 中 心 化 的 公开 
账本 ， 一 个 正确 验证 过 的 区 块 使 用 创 世 区 块 作为 信任 根 ， 建 立 一 条 至 当前 区 块 的 可 信任 链 。 
比特 币 系 统 可 以 使 用 区 块 链 作为 它们 的 信任 根 。 在 设计 一 个 多 系统 服务 机 制 的 比特 币 应 用 

时 ， 你 应 该 仔细 确认 安全 体系 ， 以 确保 对 它 的 信任 能 有 据 可 依 。 最 终 ， 唯 一 可 确信 无 疑 的 是 
一 条 完全 有 效 的 区 块 链 。 如 果 你 的 应 用 程序 或 明 或 暗 地 信 赖 于 区 块 链 以 外 的 东西 ， 就 该 引起 
重视 ， 因 为 它 可 能 会 引入 漏洞 。 一 个 不 错 的 方法 评估 你 应 用 程序 的 安全 体系 : 单独 考量 每 个 
组 件 ， 设 想 该 组 件 被 完全 攻破 并 被 坏人 掌控 的 场景 。 依 次 取出 应 用 程序 的 每 个 组 件 ， 并 评估 
它 被 攻破 时 对 整体 安全 的 影响 。 如 果 你 的 应 用 程序 的 安全 性 在 该 组 件 沦陷 后 大 打折 扣 ， 那 就 
说 明 你 已 经 对 这 些 组 件 过 度 信任 了 。 一 个 没有 漏洞 的 比特 币 应 用 程序 应 该 只 受 限 于 比特 币 的 
共识 机 制 ， 这 意味 着 其 安全 体系 的 信任 源 于 比特 币 最 底层 的 部 分 。 


无 数 个 黑客 攻击 比特 币 交易 所 的 例子 都 是 因为 轻视 了 这 一 点 ， 他 们 的 安全 体系 和 设计 甚至 无 
法 通过 基本 的 审查 。 这 种 中 心 化 的 实现 方式 将 信任 置 于 比特 币 区 块 链 之 外 的 诸多 组 件 之 上 ， 
例如 热钱 包 ， 中 心 化 的 账本 数据 库 ， 简 易 加 密 的 密 钥 ， 以 及 许多 类 似 的 方案 。 
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人 类 使 用 物理 的 安全 控制 已 经 有 数 千 年 之 久 。 相 比 之 下 ， 我 们 的 数字 化 安全 经 验 的 年 纪 还 不 
满 50 岁 。 现 代 通 用 的 操作 系统 并 不 是 十 分 安全 ， 亦 不 特别 适合 用 来 存储 数字 货币 。 我 们 的 电 
脑 通过 一 直 连 接 的 互联 网 长 时 间 暴 露 在 外 ， 它 们 运行 着 成 千 上 万 第 三 方 软件 组 件 ， 这 些 软件 
往往 可 以 不 受 约束 地 访问 用 户 的 文件 。 你 电脑 上 安装 的 众多 软件 只 要 有 一 个 恶意 软件 ， 就 会 
威胁 到 你 的 文件 ， 可 禄 取 你 钱包 里 的 所 有 比特 币 。 想 要 杜绝 病毒 和 木马 对 电脑 的 威胁 ， 用 户 
要 达到 一 定 的 计算 机 维护 水 平 ， 只 有 小 部 分 人 能 做 到 。 


尽管 信息 安全 经 过 了 数 十 年 的 研究 和 发 展 ， 数 字 资 产 在 绵延 不 绝 的 攻势 下 还 是 十 分 脆弱 。 纵 
使 是 像 金融 服务 公司 ， 情 报 机 构 或 国防 承包 商 这 样 拥有 高 度 防 护 和 限制 的 系统 ， 也 经 常会 被 
攻破 。 比 特 币 创造 了 具有 内 在 价值 的 数字 资产 ， 它 可 以 被 窃取 ， 并 立即 转移 给 他 人 而 无 法 撤 
回 。 这 让 黑客 有 了 强烈 的 作案 动机 。 至 今 为 止 ， 黑 客 都 不 得 不 在 套现 后 更 换 身份 信 息 或 帐户 
口令 ， 例 如 信用 卡 或 银行 账户 。 尽 管 掩饰 和 洗 白 这 部 分 财务 信息 的 难度 不 小 ， 但 越 来 越 多 的 
窃贼 从 于 此 道 。 而 比特 币 使 这 个 问题 加 剧 了 ， 因 为 它 不 需要 掩饰 或 洗 白 ， 它 本 身 就 是 具有 内 
在 价值 的 数字 资产 。 


幸运 的 是 ， 上 比特 币 也 有 着 激励 机 制 ， 以 提高 计算 机 的 安全 性 。 如 前 所 述 ， 计 算 机 受 威胁 的 风 
险 是 模糊 的 ， 间 接 的 ， 而 比特 币 让 这 些 风险 变 得 明确 清晰 。 在 电脑 上 保存 比特 币 让 用 户 时 刻 
注意 他 们 需要 提高 计算 机 的 安全 性 ， 结 果 便 是 这 使 得 比特 币 和 其 它 数 字 货 币 得 以 传播 和 扩 
散 ， 我 们 已 经 看 到 在 黑客 技术 和 安全 解决 方案 双方 的 提升 。 简 单 来 说 ， 黑 客 现在 有 着 一 个 非 
常 诱 人 的 目标 ， 而 用 户 也 有 明确 的 激励 性 去 保卫 自己 。 


在 过 去 的 三 年 里 ， 随 着 比特 币 不 断 被 接纳 ， 一 个 直接 的 结果 是 ， 我 们 已 经 看 到 信息 安全 领域 
取得 了 巨大 创新 ， 例 如 硬件 加 密 ， 密 铀 存储 和 硬件 钱包 ， 多 重 签名 技术 和 数字 托管 。 在 下 面 
的 章节 中 ， 我 们 将 研究 名 种 实际 用 户 安全 中 的 实践 经 验 。 


11.2.1 比特 币 物 理 存储 


相 比 数字 信息 的 安全 ， 大 多 数 用 户 对 物理 安全 更 加 熟悉 ， 一 个 非常 有 效 保护 比特 币 的 方法 
是 ， 将 它们 转换 为 物理 形式 。 比特 币 密 钥 不 过 是 串 长 数字 而 已 。 这 意味 着 它们 可 以 以 物理 形 
式 存储 起 来 ， 如 印 在 纸 上 或 蚀刻 成 金属 硬币 上 上。 这样 保护 密 钥 就 变 成 了 简单 地 保护 印 着 比特 
币 密 钥 的 物理 实体 。 一 组 打印 在 纸 上 的 比特 币 密 钥 被 称 为 “纸钱 包 ” 有 许多 可 以 用 来 创建 它们 
的 免费 工具 。 我 个 人 将 大 部 分 (99% 以 上 ) 的 比特 币 存储 在 纸钱 包 上 ， 并 用 BIP0038 加 密 ， 
复制 了 多 份 并 锁 在 保险 箱 里 。 将 比特 币 离 线 保存 的 方法 被 称 为 冷 存储 ， 它 是 最 有 效 的 安全 技 
术 之 一 。 冷 存储 系统 是 在 一 个 离线 系统 (一 个 从 来 没有 连接 过 互联 网 的 系统 ) 上 生成 密 钥 ， 
并 离线 存储 到 纸 上 或 者 U 盘 等 电子 媒介 上 。 


11.2.2 硬件 钱包 


从 长 远 来 看 ， 比 特 币 安全 将 越 来 越 多 地 以 硬件 防 自 改 钱包 的 形式 出 现 。 与 智能 手机 或 台式 电 
脑 不 同 ， 一 个 比特 币 硬件 钱包 只 有 一 个 目的 ， 安 全 地 存储 比特 币 。 不 像 容 易 受 害 的 常用 软件 
那样 ， 硬 件 钱 包 只 提供 了 有 限 的 接口 ， 从 而 可 以 给 非 专业 用 户 提供 近乎 万 无 一 失 的 安全 等 


级 。 我 预期 将 看 到 硬件 钱包 成 为 比特 币 储存 的 主要 方式 。 要 想 看 硬件 钱包 的 实例 ， 请 查 
阅 TREZOR ° 


11.2.3 平衡 风险 


虽然 大 多 数 用 户 都 非常 关注 比特 币 防盗 ， 其 实 还 有 一 个 更 大 的 风险 存在 。 数 据 文件 丢 失 的 情 

况 时 有 发 生 。 如 果 比 特征 的 数据 也 在 其 中 ， 损 失 将 会 让 人 痛苦 不 卉 。 为 了 保护 好 比特 币 钱 

包 ， 用 户 必 须 非常 注意 不 要 剑 走 偏锋 ， 这 样 不 至 于 会 搞 丢 比特 币 。 在 2011 年 7 月 ， 一 个 著名 的 

Side i ed 项 目 损失 了 近 7,000 枚 比特 币 。 为 了 防止 被 盗窃 ， 其 主人 曾 之 前 采取 了 一 系列 
杂 的 操作 去 加 密 备份 。 结 果 他 们 不 惯 MM ibn ， 使 得 备份 变 得 毫 无 价值 ， 和 白白 失 

pode 财富 。 如 果 你 保护 比特 币 的 方式 太 过 这 好 比 于 把 钱 藏 在 沙漠 里 ， 你 可 能 不 能 

再 把 它 找 回 来 了 。 


11.2.4 分 散 风 险 


你 会 将 你 的 全 部 家 当 换 成 现金 放 在 钱包 里 随身 携带 么 ? 大 多 数 人 会 认为 这 非常 不 明智 ， 但 比 
特 币 用 户 经 常会 将 所 有 的 比特 币 放 在 一 个 钱包 里 。 用 户 应 该 将 风险 分 散 到 不 同类 型 的 比特 币 
Belo FAAP RARE base (RATHI) 的 比特 币 在 一 个 在 线 的 或 手机 钱包 ， 就 
像 零用 钱 一 样 ， 其 余 的 部 分 应 该 采用 不 同 存储 机 制 分 散 开 来 ， 诸 如 电脑 钱包 和 离线 〈 冷 存 
fk) 钱包 。 


11.2.5 多 重 签名 管理 


当 一 个 公司 或 个 人 持 有 大 量 比特 币 时 ， 他 们 应 该 考虑 采用 多 重 签名 的 比特 币 地 址 。 多 重 签名 
比特 币 地 址 需要 多 个 签名 才能 支付 ， 从 而 保证 资金 的 安全 。 多 重 签名 的 密 钥 应 存储 在 多 个 不 
同 的 地 方 ， 并 由 不 同 的 人 掌控 。 打 个 比方 ， 在 企业 环境 中 ， 密 钥 应 该 分 别 生 成 并 由 若干 公司 
[dis 持 有 ， 以 确保 没有 任何 一 个 人 可 以 独自 占有 资金 。 多 重 签 名 的 地 址 也 可 以 提供 宛 

， 例如 一 个 人 持 有 多 个 密 钥 ， 并 将 它们 分 别 存储 在 不 同 的 地 方 。 


11.2.6 存活 能 力 


一 个 非常 重要 却 又 常常 被 忽视 的 安全 性 考虑 是 可 用 性 ， 尤 其 是 在 密 钥 持 有 者 袁 失 工作 能 力 或 
死亡 的 情况 下 。 上 比特 币 的 用 户 被 告知 应 该 使 用 复杂 的 密码 ， 并 保证 他 们 的 密 钥 安全 且 不 为 他 
人 所 知 。 不 幸 的 是 ， 这 种 做 法 使 得 在 用 户 无 法 解锁 时 ， 用 户 的 家 人 几乎 无 法 将 该 财产 恢复 。 
事实 上 ， 比 特 币 用 户 的 家 人 可 能 完全 不 知道 这 笔 比 特 币 资金 的 存在 。 如果 你 有 很 多 的 比特 

币 ， 你 应 该 考虑 与 一 个 值得 信赖 的 亲属 或 律师 分 享 解密 的 细节 。 可 以 摘 一 个 更 复杂 的 比特 币 
恢复 计划 ， 可 以 通过 设置 多 重 签名 ， 做 好 遗产 规划 ， 并 通过 专门 的 “数字 资产 执行 者 ”律师 处 理 
后 事 。 


结 


Cm 


11.3 X 


比特 币 是 一 项 全 新 的 ， 前 所 未 有 的 ， 复 杂 的 技术 。 随 着 时 间 的 推移 ， 我 们 将 开发 出 更 好 的 安 
全 工具 ， 而 且 更 容易 被 非 专业 人 士 使 用 。 而 现在 ， 比 特 币 用 户 可 以 使 用 许多 这 里 所 讨论 的 技 
巧 ， 享 受 安全 而 无 困扰 的 比特 币 生活 。 


附录 1、 比 特 币 白皮书 : 比特 币 和 白皮书 : 一 种 
点 对 点 的 电子 现金 系统 


原文 作者 : 中 本 联 (Satoshi Nakamoto ) 
作者 邮箱 : Satoshin@gmx.com 
执行 翻译 : 8btc.com 已 比特 QQagent 


[摘要 ] : 本 文 提出 了 一 种 完全 通过 点 对 点 技术 实现 的 电子 现金 系统 ， 它 使 得 在 线 支付 能 够 
直接 由 一 方 发 起 并 支付 给 另外 一 方 ， 中 间 不 需要 通过 任何 的 金融 机 构 。 虽 然 数字 签名 
(Digital signatures) 部 分 解决 了 这 个 问题 ， 但 是 如 果 仍 然 需要 第 三 方 的 支持 才能 防止 双 
重 支 付 (double-spending) 的 话 ， 那 么 这 种 系统 也 就 失去 了 存在 的 价值 。 我 们 (we) 在 此 
提出 一 种 解决 方案 ， 使 现金 系统 在 点 对 点 的 环境 下 运行 ， 并 防止 双重 支付 问题 。 该 网 络 
通过 随机 散 列 (hashing) 对 全 部 交易 加 上 时 间 改 (timestamps) ， 将 它们 合并 入 一 个 不 
断 延 伸 的 基于 随机 散 列 的 工作 量 证 明 (proof-of-work) 的 链条 作为 交易 记录 ， 除 非 重新 
完成 全 部 的 工作 量 证 明 ， 形 成 的 交易 记录 将 不 可 更 改 。 最 长 的 链条 不 仅 将 作为 被 观察 到 
的 事件 序列 (sequence) 的 证 明 ， 而 且 被 看 做 是 来 自 CPU 计 算 能 力 最 大 的 池 (pool) 。 
只 要 大 多 数 的 CPU 计算 能 力 都 没有 打算 合作 起 来 对 全 网 进行 攻击 ， 那 么 诚实 的 节点 将 会 
生成 最 长 的 、 超 过 攻击 者 的 链条 。 这 个 系统 本 身 需 要 的 基础 设施 非常 少 。 信 息 尽 最 大 努 
力 在 全 网 传播 即 可 ， 节 点 (nodes) 可 以 随时 离开 和 重新 加 入 网 络 ， 并 将 最 长 的 工作 量 证 明 
链条 作为 在 该 节点 离线 期 间 发 生 的 交易 的 证 明 。 


1. 简介 


互联 网 上 的 贸易 ， 几 乎 都 需要 借助 金融 机 构 作 为 可 资信 赖 的 第 三 方 来 处 理 电 子 支付 信息 。 虽 
然 这 类 系统 在 绝 大 多 数 情 况 下 都 运作 良好 ， 但 是 这 类 系统 仍然 内 生性 地 受制 于 “基于 信用 的 模 
式 ”(trust based model) 的 弱点 。 我 们 无 法 实现 完全 不 可 递 的 交易 ， 因 为 金融 机 构 总 是 不 可 避 
免 地 会 出 面 协调 争端 。 而 金融 中 介 的 存在 ， 也 会 增加 交易 的 成 本 ， 并 且 限 制 了 实际 可 行 的 最 
小 交易 规模 ， 也 限制 了 日 常 的 小 额 支付 交易 。 并 且 潜 在 的 损失 还 在 于 ， 很 多 商品 和 服务 本 身 
是 无 法 退货 的 ， 如 果 缺 乏 不 可 逆 的 支付 手段 ， 互 联网 的 贸易 就 大 大 受 限 。 因 为 有 潜在 的 退 款 
的 可 能 ， 就 需要 交易 双方 拥有 信任 。 而 商家 也 必须 提防 自己 的 客户 ， 因 此 会 向 客户 索取 完全 
不 必要 的 个 人 信息 。 而 实际 的 商业 行为 中 ， 一 定 比 例 的 欺诈 性 客户 也 被 认为 是 不 可 避免 的 ， 

相关 损失 视 作 销售 费用 处 理 。 而 在 使 用 物理 现金 的 情况 下 ， 这 些 销售 费用 和 支付 问题 上 的 不 
确定 性 却 是 可 以 避免 的 ， 因 为 此 时 没有 第 三 方 信用 中 介 的 存在 。 所 以 ， 我 们 非常 需要 这 样 一 
种 电子 支付 系统 ， 它 基于 密码 学 原理 而 不 基于 信用 ， 使 得 任何 达成 一 致 的 双方 ， 能 够 直接 进 
行 支付 ， 从 而 不 需要 第 三 方 中 介 的 参与 。 杜 绝 回 滚 (reverse) 支 付 交易 的 可 能 ， 这 就 可 以 保护 
特定 的 卖家 免 于 坎 诈 ; 而 对 于 想 要 保护 买 家 的 人 来 说 ， 在 此 环境 下 设立 通常 的 第 三 方 担保 机 


制 也 可 谓 轻松 加 愉快 。 在 这 篇 论文 中 ， 我 们 (we) 将 提出 一 种 通过 点 对 点 分 布 式 的 时 间 惟 服务 
器 来 生成 依照 时 间 前 后 排列 并 加 以 记录 的 电子 交易 证 明 ， 从 而 解决 双重 支付 问题 。 只 要 诚实 
的 节点 所 控制 的 计算 能 力 的 总 和 ， 大 于 有 合作 关系 的 (cooperating) 攻 击 者 的 计算 能 力 的 总 和 ， 
该 系统 就 是 安全 的 。 


2. 交 多 (Transactions) 


我 们 定义 ， 一 枚 电子 货币 (an electronic coin) 是 这 样 的 一 串 数 字 签 名 : 每 一 位 所 有 者 通过 对 
前 一 次 交易 和 下 一 位 拥有 者 的 公 负 (Public key) 签署 一 个 随机 散 列 的 数字 签名 ， 并 将 这 个 签名 
附加 在 这 枚 电子 货币 的 末尾 ， 电 子 货币 就 发 送 给 了 下 一 位 所 有 者 。 而 收 款 人 通过 对 签名 进行 
检验 ， 就 能 够 验证 该 链条 的 所 有 者 。 


所 有 者 1 有 所有 者 2 所 有 者 3 
(m ,， HAH (2: £] 


所 有 者 1 
(n z 4H 





该 过 程 的 问题 在 于 ， 收 款 人 将 难以 检验 ， 之 前 的 某 位 所 有 者 ， 是 否 对 这 枚 电子 货币 进行 了 双 
重 支付 。 通 常 的 解决 方案 ， 就 是 引入 信得过 的 第 三 方 权威 ， 或 者 类 似 于 造 币 厂 (mint) 的 机 构 ， 
来 对 每 一 笔 交 易 进 行 检验 ， 以 防止 双重 支付 。 在 每 一 笔 交 易 结束 后 ， 这 枚 电子 货币 就 要 被 造 
币 厂 回收 ， 而 造 币 厂 将 发 行 一 枚 新 的 电子 货币 ; 而 只 有 造 币 厂 直接 发 行 的 电子 货币 ， 才 算 作 
有 效 ， 这 样 就 能 够 防止 双重 支付 。 可 是 该 解决 方案 的 问题 在 于 ， 整 个 货币 系统 的 命运 完全 依 
赖 于 运作 造 币 厂 的 公司 ， 因 为 每 一 笔 交 易 都 要 经 过 该 造 币 厂 的 确认 ， 而 该 造 币 厂 就 好 上 比 是 一 
家 银行 。 我 们 需要 收 款 人 有 茶 种 方法 ， 能 够 确保 之 前 的 所 有 者 没有 对 更 早 发 生 的 交易 实施 签 
名 。 从 逻辑 上 看 ， 为 了 达到 目的 ， 实 际 上 我 们 需要 关注 的 只 是 于 本 交易 之 前 发 生 的 交易 ， 而 
不 需要 关注 这 笔 交 易 发 生 之 后 是 否 会 有 双重 支付 的 尝试 。 为 了 确保 某 一 次 交易 是 不 存在 的 ， 
那么 唯一 的 方法 就 是 获悉 之 前 发 生 过 的 所 有 交易 。 在 造 币 厂 模 型 里 面 ， 造 币 厂 获悉 所 有 的 交 
易 ， 并 且 决 定 了 交易 完成 的 先后 顺序 。 如 果 想 要 在 电子 系统 中 排除 第 三 方 中 介 机 构 ， 那 么 交 


2j 1& SIL EL 3: RAF SR (publicly announced) [1] ， 我 们 需要 整个 系统 内 的 所 有 参与 者 ， 
都 有 唯一 公认 的 历史 交易 序列 。 收 款 人 需要 确保 在 交易 期 间 绝 大 多 数 的 节点 都 认同 该 交易 是 
首次 出 现 。 


3. AY IR] EUR. 4 25 (Timestamp server) 


本 解决 方案 首先 提出 一 个 “时 间 惟 服务 器 "”。 时 间 改 服务 器 通过 对 以 区 块 (block) 形 式 存在 的 一 组 
数据 实施 随机 数列 而 加 上 时 间 惟 ， 并 将 该 随机 数列 进行 广播 ， 就 像 在 新 闻 或 世界 性 新 闻 组 网 
络 (Usenet) 的 发 帖 一 样 [2][3][4][5] 。 显 然 ， 该 时 间 惟 能 够 证实 特定 数据 必然 于 茶 特定 时 间 是 
的 确 存在 的 ， 因 为 只 有 在 该 时 刻 存 在 了 才能 获取 相应 的 随机 散 列 值 。 每 个 时 间 惟 应 当 将 前 一 
个 时 间 惟 纳入 其 随机 散 列 值 中 ， 每 一 个 随后 的 时 间 惟 都 对 之 前 的 一 个 时 间 崔 进行 增强 
(reinforcing)， 这 样 就 形成 了 一 个 链条 (Chain) 。 





4. 工作 量 证 明 (Proof-of-Work ) 


为 了 在 点 对 点 的 基础 上 构建 一 组 分 散 化 的 时 间 惟 服务 器 ， 仅 仅 像 报 纸 或 世界 性 新 闻 网 络 组 一 
样 工作 是 不 够 的 ， 我 们 还 需要 一 个 类 似 于 亚当 。 柏 克 (Adam Back) 提出 的 哈 希 现金 

(Hashcash) [6]。 在 进行 随机 散 列 运算 时 ， 工 作 量 证 明 机 制 引 入 了 对 某 一 个 特定 值 的 扫描 工 
作 ， 比 方 说 SHA-256 下 ， 随 机 散 列 值 以 一 个 或 多 个 0 开始 。 那 么 随 着 0 的 数目 的 上 升 , 找到 这 个 
解 所 需要 的 工作 量 将 呈 指 数 增长 ， 而 对 结果 进行 检验 则 仅 需 要 一 次 随机 散 列 运算 。 


我 们 在 区 块 中 补 增 一 个 随机 数 (Nonce)， 这 个 随机 数 要 使 得 该 给 定 区 块 的 随机 散 列 值 出 现 了 所 
需 的 那么 多 个 0。 我 们 通过 反复 尝试 来 找到 这 个 随机 数 ， 直 到 找到 为 止 ， 这 样 我 们 就 构建 了 一 
个 工作 量 证 明 机 制 。 只 要 该 CPU 耗费 的 工作 量 能 够 满足 该 工作 量 证 明 机 制 ， 那 么 除非 重新 完 
成 相当 的 工作 量 ， 该 区 块 的 信息 就 不 可 更 改 。 由 于 之 后 的 区 块 是 链接 在 该 区 块 之 后 的 ， 所 以 
想 要 更 改 该 区 块 中 的 信息 ， 就 还 需要 重新 完成 之 后 所 有 区 块 的 全 部 工作 量 。 


[X Ee 


zc. 





同时 ， 该 工作 量 证 明 机 制 还 解决 了 在 集体 投票 表决 时 ， 谁 是 大 多 数 的 问题 。 如 果 决 定 大 多 数 
的 方式 是 基于 IP 地 址 的 ， 一 IP 地 址 一 票 ， 那 么 如 果 有 人 拥有 分 配 大 量 IP 地 址 的 权力 ， 则 该 机 制 
就 被 破坏 了 。 而 工作 量 证 明 机 制 的 本 质 则 是 一 CPU 一 票 。" 大 多 数 "的 决定 表达 为 最 长 的 链 ， 
为 最 长 的 链 包 含 了 最 大 的 工作 量 。 如 果 大 多 数 的 CPU 为 诚实 的 节点 控制 ， 那 么 诚实 的 链条 将 
以 最 快 的 速度 延长 ， 并 超越 其 他 的 竞争 链条 。 如 果 想 要 对 业已 出 现 的 区 块 进行 修改 ， 攻 击 者 
必须 重新 完成 该 区 块 的 工作 量 外 加 该 区 块 之 后 所 有 区 块 的 工作 量 ， 并 最 终 赶 上 和 超越 诚实 节 
点 的 工作 量 。 我 们 将 在 后 文 证 明 ， 设 想 一 个 较 慢 的 攻击 者 试图 赶 上 随后 的 区 块 ， 那 么 其 成 功 
概率 将 呈 指 数 化 递减 。 另 一 个 问题 是 ， 硬 件 的 运算 速度 在 高 速 增 长 ， 而 节点 参与 网 络 的 程度 
则 会 有 所 起 伏 。 为 了 解决 这 个 问题 ， 工 作 量 证 明 的 难度 (the proof-of-work difficulty) %7 4 
动 平 均 目标 的 方法 来 确定 ， 即 令 难 度 指向 令 每 小 时 生成 区 块 的 速度 为 某 一 个 预定 的 平均 数 。 
如 果 区 块 生成 的 速度 过 快 ， 那么 难度 就 会 提高 。 


5. 网 络 


运行 该 网 络 的 步骤 如 下 : 


。 1) 新 的 交易 向 全 网 进行 广播 ; 

© 2) 每 一 个 节点 都 将 收 到 的 交易 信息 纳入 一 个 区 块 中 ; 

e 3) 每 个 节点 都 尝试 在 自己 的 区 块 中 找到 一 个 具有 足够 难度 的 工作 量 证 明 ; 

e 4) 当 一 个 节点 找到 了 一 个 工作 量 证 明 ， 它 就 向 全 网 进行 广播 ; 

e 5) 当 且 仅 当 包含 在 该 区 块 中 的 所 有 交易 都 是 有 效 的 且 之 前 未 存在 过 的 ， 其 他 节点 才 认 同 
该 区 块 的 有 效 性 

e 6) 其 他 节点 表示 他 们 接受 该 区 块 ， 而 表示 接受 的 方法 ， 则 是 在 跟随 该 区 块 的 末尾 ， 制 造 
新 的 区 块 以 延长 该 链条 ， 而 将 被 接受 区 块 的 随机 散 列 值 视 为 先 于 新 区 快 的 随机 散 列 值 。 


节点 始终 都 将 最 长 的 链条 视 为 正确 的 链条 ， 并 持续 工作 和 延长 它 。 如 果 有 两 个 节点 同时 广播 
不 同 版 本 的 新 区 块 ， 那 么 其 他 节点 在 接收 到 该 区 块 的 时 间 上 将 存在 先后 差别 。 当 此 情形 ， 他 
们 将 在 率先 收 到 的 区 块 基 础 上 进行 工作 ， 但 也 会 保留 另外 一 个 链条 ， 以 防 后 者 变 成 最 长 的 链 
Ko Bley (tie) 的 打破 要 等 到 下 一 个 工作 量 证 明 被 发 现 ， 而 其 中 的 一 条 链条 被 证 实 为 是 较 
长 的 一 条 ， 那 么 在 另 一 条 分 支 链条 上 工作 的 节点 将 转换 阵营 ， 开 始 在 较 长 的 链条 上 工作 。 MM 
谓 “ 新 的 交易 要 广播 "， 实 际 上 不 需要 抵达 全 部 的 节点 。 只 要 交易 信息 能 够 抵达 足够 多 的 节 


那么 他 们 将 很 快 被 整合 进 一 个 区 块 中 。 而 区 块 的 广播 对 被 丢弃 的 信息 是 具有 容错 能 力 的 。 如 
果 一 个 节点 没有 收 到 菜 特定 区 块 ， 那 么 该 节点 将 会 发 现 自己 缺失 了 某 个 区 块 ， 也 就 可 以 提出 
自己 下 载 该 区 块 的 请 求 。 


6. 激励 


我 们 约定 如 此 : 每 个 区 块 的 第 一 笔 交 易 进行 特殊 化 处 理 ， 该 交易 产生 一 枚 由 该 区 块 创造 者 拥 
有 的 新 的 电子 货币 。 这 样 就 增加 了 节点 支持 该 网 络 的 激励 ， 并 在 没有 中 央 集 权 机 构 发 行货 币 
的 情况 下 ， 提 供 了 一 种 将 电子 货币 分 配 到 流通 领域 的 一 种 方法 。 这 种 将 一 定数 量 新 货币 持续 
增添 到 货币 系统 中 的 方法 ， 非 常 类 似 于 耗费 资源 去 挖掘 金 矿 并 将 黄金 注入 到 流通 领域 。 此 
时 ，CPU 的 时 间 和 电力 消耗 就 是 消耗 的 资源 。 另 外 一 个 激励 的 来 源 则 是 交易 费 (transaction 
fees) 。 如 果 某 笔 交 易 的 输出 值 小 于 输入 值 ， 那 么 差额 就 是 交易 费 ， 该 交易 费 将 被 增加 到 该 区 
块 的 激励 中 。 只 要 既定 数量 的 电子 货币 已 经 进入 流通 ， 那 么 激励 机 制 就 可 以 逐渐 转换 为 完全 
依靠 交易 费 ， 那 么 本 货币 系统 就 能 够 免 于 通货 膨胀 。 激 励 系统 也 有 助 于 鼓励 节点 保持 诚实 。 
如 果 有 一 个 贪 焚 的 攻击 者 能 够 调集 比 所 有 诚实 节点 加 起 来 还 要 多 的 CPU 计算 力 ， 那 么 他 就 面 
临 一 个 选择 : 要 么 将 其 用 于 诚实 工作 产生 新 的 电子 货币 ， 或 者 将 其 用 于 进行 二 次 支付 攻击 。 
那么 他 就 会 发 现 ， 按 照 规则 行事 、 诚 实 工作 是 更 有 利 可 图 的 。 因 为 该 等 规则 使 得 他 能 够 拥有 
更 多 的 电子 货币 ， 而 不 是 破坏 这 个 系统 使 得 其 自身 财富 的 有 效 性 受 损 。 


7. 回收 硬盘 空间 


如 果 最 近 的 交易 已 经 被 纳入 了 足够 多 的 区 块 之 中 ， 那 么 就 可 以 丢弃 该 交易 之 前 的 数据 ， 以 回 
收 硬盘 空间 。 为 了 同时 确保 不 损害 区 块 的 随机 散 列 值 ， 交 易 信息 被 随机 散 列 时 ， 被 构建 成 一 
种 Merkle 树 (Merkle tree) [7] 的 形态 ， 使 得 只 有 根 (root) 被 纳入 了 区 块 的 随机 散 列 值 。 通 过 将 
该 树 (tree) 的 分 支 拔除 (stubbing) 的 方法 ， 老 区 块 就 能 被 压缩 。 而 内 部 的 随机 散 列 值 是 不 
必 保 存 的 。 


区 块 ， 区 块头 ~ | 区 块 ， 区 块头 
i 





以 Merkle 树 形式 散 列 的 交易 T£ Tx0-2 KA [x Ee v] BY [sR 


不 含 交易 信息 的 区 块头 (Block header) 大 小 仅 有 80 字 节 。 如 果 我 们 设 定 区 块 生成 的 速率 为 
每 10 分 钟 一 个 ， 那 么 每 一 年 产生 的 数据 位 4.2MB。 (80 bytes 6 24 * 365 = 4.2MB) 。2008 
年 ， PC 系统 通常 的 内 存 容量 为 2GB， 按 照 摩尔 定律 的 预言 ， 即 使 将 全 部 的 区 块头 存储 于 内 存 
之 中 都 不 是 问题 。 


8. 简化 的 支付 确认 (Simplified Payment 
Verification ) 


在 不 运行 完整 网 络 节点 的 情况 下 ， 也 能 够 对 支付 进行 检验 。 一 个 用 户 需 要 保留 最 长 的 工作 量 
证 明 链 条 的 区 块头 的 拷贝 ， 它 可 以 不 断 向 网 络 发 起 询问 ， 直 到 它 确 信 自 己 拥有 最 长 的 链条 ， 
并 能 够 通过 merkle 的 分 支 通 向 它 被 加 上 时 间 惟 并 纳入 区 块 的 那 次 交易 。 节 点 想 要 自行 检验 该 
交易 的 有 效 性 原本 是 不 可 能 的 ， 但 通过 追溯 到 链条 的 茶 个 位 置 ， 它 就 能 看 到 茶 个 节点 曾经 接 
受过 它 ， 并 且 于 其 后 追加 的 区 块 也 进一步 证 明 全 网 曾经 接受 了 它 


最 长 的 工作 量 证 明 链 


区 块头 


先前 散 列 信 


Merkle 根 






E 


Tx3 


当 此 情形 ， 只 要 诚实 的 节点 控制 了 网 络 ， 检 验 机 制 就 是 可 靠 的 。 但 是 ， 当 全 网 被 一 个 计算 力 

占 优 的 攻击 者 攻击 时 ， 将 变 得 较为 脆弱 。 因 为 网 络 节点 能 够 自行 确认 交易 的 有 效 性 ， 只 要 攻 
击 者 能 够 持续 地 保持 计算 力 优 势 ， 简 化 的 机 制 会 被 攻击 者 焊接 的 (fabricated) 交易 欺骗 。 那 
么 一 个 可 行 的 策略 就 是 ， 只 要 他 们 发 现 了 一 个 无 效 的 区 块 ， 就 立刻 发 出 警报 ， 收 到 警报 的 用 

户 将 立刻 开始 下 载 被 警告 有 问题 的 区 块 或 交易 的 完整 信息 ， 以 便 对 信息 的 不 一 致 进行 判定 。 

对 于 日 常会 发 生 大量 收 付 的 商业 机 构 ， 可 能 仍 会 希望 运行 他 们 自己 的 完整 节点 ， 以 保持 较 大 
的 独立 完全 性 和 检验 的 快速 性 。 





9. Ht 4a. 8) 224 73] (Combining and Splitting 
Value ) 


虽然 可 以 单个 单个 地 对 电子 货币 进行 处 理 ， 但 是 对 于 每 一 枚 电子 货币 单独 发 起 一 次 交易 将 是 
一 种 策 热 的 办 法 。 为 了 使 得 价值 易于 组 合 与 分 割 ， 交 易 被 设计 为 可 以 纳入 多 个 输入 和 输出 。 
一 般 而 言 是 某 次 价值 较 大 的 前 次 交易 构成 的 单一 输入 ， 或 者 由 某 几 个 价值 较 小 的 前 次 交易 共 


同 构 成 的 并 行 输入 ， 但 是 输出 最 多 只 有 两 个 : 一 个 用 于 支付 ， 另 一 个 用 于 找 零 (如 有 ) € 
要 指出 的 是 ， 当 一 笔 交 易 依赖 于 之 前 的 多 笔 交 易 时 ， 这 些 交 易 又 各 自 依 赖 于 多 笔 交 易 ， 但 这 
并 不 存在 任何 问题 。 因 为 这 个 工作 机 制 并 不 需要 展开 检验 之 前 发 生 的 所 有 交易 历史 。 


10. 隐私 (Privacy) 


传统 隐私 模型 


身份 信息 交易 > nita 








传统 的 造 币 厂 模 型 为 交易 的 参与 者 提供 了 一 定 程度 的 隐私 保护 ， 因 为 试图 向 可 信任 的 第 三 方 
索取 交易 信息 是 严格 受 限 的 。 但 是 如 果 将 交易 信息 向 全 网 进行 广播 ， 就 意味 着 这 样 的 方法 失 
效 了 。 但 是 隐私 依然 可 以 得 到 保护 : 将 公 铀 保持 为 匿名 。 公 众 得 知 的 信息 仅仅 是 有 某 个 人 将 
一 定数 量 的 货币 发 所 给 了 另外 一 个 人 ， 但 是 难以 将 该 交易 同 特定 的 人 联系 在 一 起 ， 也 就 是 
说 ， 公 众 难 以 确信 ， 这 些 人 究竟 是 谁 。 这 同 股票 交易 所 发 布 的 信息 是 类 似 的 ， 股 票 交 易 发 生 
的 时 间 、 交 易 量 是 记录 在 案 且 可 供 查 询 的 ， 但 是 交易 双方 的 身份 信息 却 不 予 迁 露 。 作 为 额外 
的 预防 措施 ， 使 用 者 可 以 让 每 次 交易 都 生成 一 个 新 的 地 址 ， 以 确保 这 些 交 易 不 被 追溯 到 一 个 
共同 的 所 有 者 。 但 是 由 于 并 行 输入 的 存在 ， 一 定 程度 上 的 追溯 还 是 不 可 避免 的 ， 因 为 并 行 输 
于 他 ， 那 么 就 可 以 追溯 出 此 人 的 其 它 很 多 交易 。 


11. 计算 


设想 如 下 场景 : 一 个 攻击 者 试图 比 诚实 节点 产生 链条 更 快 地 制造 替代 性 区 块 链 。 即 便 它 达到 
了 这 一 目的 ， 但 是 整个 系统 也 并 非 就 此 完全 受制 于 攻击 者 的 独断 意志 了 ， 比 方 说 凭空 创 造价 
d ne 点 将 不 会 接受 无 效 的 交易 ， 而 诚实 的 节点 

远 不 会 接受 一 个 包含 了 无 效 信息 的 区 块 。 一 个 攻击 者 能 做 的 ， 最 多 是 更 改 他 自己 的 交易 信 

， 并 试图 拿 回 他 刚刚 付 给 别人 的 钱 。 诚实 链条 和 攻击 者 链条 之 间 的 竞赛 ， 可 以 用 二 又 树 随 
"T" % (Binomial Random Walk) 来 描述 。 成 功 事 件 定义 为 诚实 链条 延长 了 一 个 区 块 ， 使 其 领 
先 性 +1， 而 失败 事件 则 是 攻击 者 的 链条 被 延长 了 一 个 区 块 ， 使 得 差距 -1。 攻击 者 成 功 填补 某 

一 既定 差距 的 可 能 性 ， 可 以 近似 地 看 做 赌 徒 破产 问题 (Gamblers Ruin problem) 。 假 定 一 个 

2 E ， 然 后 开始 进行 潜在 次 数 为 无 穷 的 赌博 ， 试 图 填补 上 自己 的 亏空 。 

么 我 们 可 以 计算 他 填补 上 亏空 的 概 府 ， 也 就 是 该 攻击 者 赶 上 诚实 链条 ， 如 下 所 示 [8] : 


q = 攻击 者 制造 出 下 一 个 节点 的 概率 


q, = 攻击 者 最 终 消 强 了 z 个 区 块 的 落后 差距 
1 ifpsq 
p 


假定 p>q， 那 么 攻击 成 功 的 概率 就 因为 区 块 数 的 增长 而 呈现 指数 化 下 降 。 由 于 概率 是 攻击 者 的 
敌人 ， 如 果 他 不 能 幸运 且 快 速 地 获得 成 功 ， 那 么 他 获得 成 功 的 机 会 随 着 时 间 的 流逝 就 变 得 僵 
发 渺茫 。 那 么 我 们 考虑 一 个 收 款 人 需要 等 待 多 长 时 间 ， 才 能 足够 确信 付款 人 已 经 难以 更 改 交 
钨 了。 我 们 假设 付款 人 是 一 个 支付 攻击 者 ， 和 希望 让 收 款 人 在 一 段 时 间 内 相信 他 已 经 付 过 款 

了 ， 然 后 立即 将 支付 的 款项 重新 支付 给 自己 。 虽 然 收 束 inde dip ie 
收 款 人 生成 了 新 的 一 对 密 钥 组 合 ， 然 后 只 预 留 一 个 较 短 的 时 间 将 公 钾 发 送 给 付款 人 。 这 将 可 
以 防止 以 下 情况 : 付款 人 预先 准备 好 一 个 区 块 链 然后 持续 地 对 此 区 块 进 行 运算 ， a 
他 的 区 块 链 超越 了 诚实 链条 ， 方 才 立 即 执行 支付 。 当 此 情形 ， 只 要 交易 一 旦 发 出 ， 攻 击 者 就 
开始 秘密 地 准备 一 条 包含 了 该 交易 替代 版 本 的 平行 链条 。 然后 收 款 人 将 等 待 交易 出 现在 首 个 
区 块 中 ， 然 后 在 等 到 Zz 个 区 块 链接 其 后 。 此 时 ， 他 仍然 不 能 确切 知道 攻击 者 已 经 进展 了 多 少 个 
区 块 ， 但 是 假设 诚实 区 块 将 耗费 平均 预期 时 间 以 产生 一 个 区 块 ， 那么 攻击 者 的 潜在 进展 就 是 
一 个 泊 松 分 布 ， 分 布 的 期 望 值 为 : 
14=z1 

p 

当 此 情形 ， 为 了 计算 攻击 者 追赶 上 的 概率 ， 我 们 将 攻击 者 取得 进展 区 块 数 量 的 泊 松 分 布 的 概 
率 密 度 ， 乘 以 在 该 数量 下 攻击 者 依然 能 够 追赶 上 的 概率 。 





k! 


co AE eÀ fs Ou k) ifk = i 
k=0 


1 ifk>z 


化 为 如 下 形式 ， 避 免 对 无 限 数列 求 和 : 


z 4 > n 
和 Ke 人 (z-k) 
1-5 Š - a- (3) ) 
k! p 


写 为 如 下 C 语 言 代码 : 





#include double AttackerSuccessProbability(double q, int z){double p = 1.0 - q;double 
lambda = z * (q / p);double sum = 1.0;int i, k;for (k = 0; k <= z; k++){double poisson = 
exp(-lambda);for (i = 1; i <= k; i++)poisson *= lambda / i;sum -= poisson * (1 - pow(q / p, 


Z - k));}return sum;} 对 其 进行 运算 ， 我 们 可 以 得 到 如 下 的 概率 结果 ， 发 现 概率 对 zZ 值 呈 指 数 
TE e 


当 q=0.1 时 z=0 P=1.0000000 z=1 P=0.2045873 z=2 P=0.0509779 z=3 P=0.0131722 z=4 
P=0.0034552 z=5 P=0.0009137 z=6 P=0.0002428 z=7 P=0.0000647 z=8 P=0.0000173 z=9 
P=0.0000046 z=10 P=0.0000012 


当 q=0.3 时 z=0 P=1.0000000 z=5 P=0.1773523 z=10 P=0.0416605 z=15 P=0.0101008 z=20 
P=0.0024804 z=25 P=0.0006132 z=30 P=0.0001522 z=35 P=0.0000379 z=40 P=0.0000095 
z-45 P=0.0000024 z=50 P=0.0000006 


求解 令 P<0.1% 的 z 值 : 


为 使 P<0.001， 则 q=0.10 z=5 q=0.15 z=8 q-0.20 z=11 q=0.25 z=15 q-0.30 z-24 q-0.35 
Z-41 q=0.40 z=89 q=0.45 z=340 


12. 结 论 


我 们 在 此 提出 了 一 种 不 需要 信用 中 介 的 电子 支付 系统 。 我 们 首先 讨论 了 通常 的 电子 货币 的 电 
子 签名 原理 ， 虽 然 这 种 系统 为 所 有 权 提 供 了 强 有 力 的 控制 ， 但 是 不 足以 防止 双重 支付 。 为 了 
解决 这 个 问题 ， 我 们 提出 了 一 种 采用 工作 量 证 明 机 制 的 点 对 点 网 络 来 记录 交易 的 公开 信息 ， 
只 要 诚实 的 节点 能 够 控制 绝 大 多 数 的 CPU 计算 能 力 ， 就 能 使 得 攻击 者 事实 上 难以 改变 交易 记 
录 。 该 网 络 的 强健 之 处 在 于 它 结构 上 的 简洁 性 。 节 点 之 间 的 工作 大 部 分 是 彼此 独立 的 ， 只 需 
要 很 少 的 协同 。 每 个 节点 都 不 需要 明确 自己 的 身份 ， 由 于 交易 信息 的 流动 路 径 并 无 任何 要 
求 ， 所 以 只 需要 尽 其 最 大 努力 传播 即 可 。 节 点 可 以 随时 离开 网 络 ， 而 想 重 新 加 入 网 络 也 非常 
容易 ， 因 为 只 需要 补充 接收 离开 期 间 的 工作 量 证 明 链条 即 可 。 节 点 通过 自己 的 CPU 计算 力 进 
行 投票 ， 表 决 他 们 对 有 效 区 块 的 确认 ， 他 们 不 断 延 长 有 效 的 区 块 链 来 表达 自己 的 确认 ， 并 拒 
绝 在 无 效 的 区 块 之 后 延长 区 块 以 表示 拒绝 。 本 框架 包含 了 一 个 P2P 电 子 货币 系统 所 需要 的 全 部 
规则 和 激励 措施 。 
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以 下 的 表 和 描述 参见 https://en.bitcoin.it/wiki/Script 


表 1. 脚 本 压 入 堆栈 














zt m 值 (十 六 进 aL UL 
符号 制 ) 描述 
OP 0 or weer ss ee RI 
OP. FALSE 0x00 个 字 节 空 串 被 压 入 堆栈 中 
AK B^ 个 字 节 压 入 堆栈 , < 
75 之 间 
一 个 脚本 字 节 和 » ANS 4 $ Ae A 8RÁGE Ju. 
一 入 堆栈 
A Jin A omo Ay » Ale 43 X RN ASE 
E 入 堆栈 
个 脚 uy 8 s AJ% 3 su AN ERG qn. 
= 入 堆栈 
OP_1NEGATE Ox4f 将 脚本 -1 压 入 堆栈 
OP RESERVED 0x50 终止 - 交易 无 效 (GEL RANT M4 OP_IF 7 4 T) 
OP_1 or - UE 
OP TRUE 0x51 将 脚本 1 压 入 堆栈 
OP 2toOP 16 2x82 to 将 脚本 N 压 入 堆栈 ， 例 如 OP 2 压 入 脚本 “2， 


0x60 


表 2. 有 条 件 的 流 控制 的 操作 符 


符号 


OP NOP 
OP VER 
OP IF 

OP NOTIF 
OP VERIF 


OP VERNOTIF 


OP ELSE 


OP ENDIF 
OP VERIFY 
OP RETURN 


表 3. 时 间 锁 操作 符 


OP_CHECKLOCKTIMEVERIFY 


>) 
A 


值 (十 六 
进 制 ) 


Ox61 
Ox62 
0x63 
0x64 
0x65 
0x66 


0x67 


0x68 
0x69 
0x6a 


(previously OP NOP2) 


OP CHECKSEQUENCEVERIFY 


(previously OP NOP3) 


表 4. 堆 栈 操作 符 


无 操作 

终止 - 交易 无 效 (除非 在 未 执行 的 OP_IF 78 4) F ) 
如 果 栈 项 元 素 值 为 0， 语句 将 被 执行 

如 果 栈 项 元 素 值 不 为 0， 语句 将 被 执行 
终止 - 交易 无 效 

终止 - 交易 无 效 


如 果 前 述 的 OP_IF 或 OP_NOTIF 或 OP_ELSE 未 被 执 
行 ， 这 些 语句 就 会 被 执行 


终止 OP IF OP NOTIF, OP ELSE 区 块 
如 果 栈 项 元 素 值 非 状 ， 则 标记 交易 无 效 


标记 交易 无 效 


"m 
D 描述 
制 ) 


如 果 栈 顶 元 素 比 交易 锁定 时 间 字 段 大 ， 则 
将 交易 标记 为 无 效 。 否 则 脚本 评测 将 像 

OP_NOP 操 作 一 样 继续 执行 。 交 易 在 一 下 4 
种 之 一 的 情况 下 是 无 效 的 : 1. 堆 栈 是 空 的 ; 
2. 栈 顶 元 素 是 负数 ; 3. 当 交易 锁定 时 间 字 段 
值 少 于 500000000 时 ， 栈 顶 元 素 大 于 等 于 

500000000， 反 之 亦 然 ; 4. 输 入 序列 字段 等 
于 Oxffffffff。 具 体内 容 详 见 BIP-65。 


如 果 输 入 值 (BIP 0068 强 制 规定 的 顺序 ) 的 相 
对 锁定 时 间 不 等 于 或 多 于 栈 顶 元 素 值 时 ， 
将 交易 标记 为 无 效 。 具 体内 容 详 见 BIP- 
112。 


Oxb1 


Oxb2 


kk a 值 (十 六 进 di > 


符号 al) ES 
OP TOALTSTACK Ox6b 从 主 堆 栈 中 取出 元 素 ， 推 入 辅 堆栈 。 
OP FROMALTSTACK 0x6c 从 辅 堆栈 中 取出 元 素 ， 推 入 主 堆栈 
OP_2DROP Ox6d 移 除 栈 顶 两 个 元 素 
OP 2DUP 0x6e 复制 栈 顶 两 个 元 素 
OP 3DUP Ox6f 复制 栈 顶 三 个 元 素 
OP 20VER 0x70 把 栈 底 的 第 三 、 第 四 个 元 素 拷 贝 到 栈 顶 
OP_2ROT 0x71 移动 第 五 、 第 六 元 素 到 栈 顶 
OP 2SWAP 0x72 将 栈 顶 的 两 个 元 素 进 行 交 换 
OP IFDUP 0x73 如 果 栈 项 元 素 值 不 为 0， 复 制 该 元 素 值 


Count the items on the stack and push the 





QUE exe resulting count 

OP DROP 0x75 删除 栈 顶 元 素 

OP_DUP 0x76 复制 栈 顶 元 素 

OP NIP Ox77 删除 栈 顶 的 下 一 个 元 素 

OP OVER 0x78 复制 栈 顶 的 下 一 个 元 素 到 栈 顶 

OP_PICK 0x79 把 堆栈 的 第 n 个 元 素 找 贝 到 栈 顶 
OP_ROLL 0x7a 把 堆栈 的 第 n 个 元 素 移 动 到 栈 顶 

OP_ROT Ox7b 翻转 栈 顶 的 三 个 元 素 

OP SWAP Ox7c 栈 顶 的 三 个 元 素 交 换 

OP_TUCK Ox7d 拷贝 栈 顶 元 素 并 插入 到 栈 顶 第 二 个 元 素 之 后 


表 5. 字 符 串 接 操作 


符号 值 (十 六 进 制 ) 描述 
OP CAT Ox7e 连接 两 个 字符 串 ， 已 禁用 
OP SUBSTR 0x7f 返回 字符 串 的 一 部 分 ， 已 禁用 
OP LEFT 0x80 在 一 个 字符 串 中 保留 左边 指定 长 度 的 子囊 ， 已 禁用 
OP RIGHT 0x81 在 一 个 字符 串 中 保留 右边 指定 长 度 的 子囊 ， 已 禁用 
OP SIZE 0x82 把 栈 顶 元 素 的 字符 囊 长 度 压 入 堆栈 


表 6. 二 进 制 算术 和 条 件 


kk a 值 (十 六 进 


; X t 
^p Al) 描述 
OP INVERT 0x83 所 有 输入 的 位 取 反 ， 已 禁用 
OP AND 0x84 对 输入 的 所 有 位 进行 布尔 与 运算 ， 已 禁 
OP_OR 0x85 对 输入 的 每 一 位 进行 布尔 或 运算 ， 已 禁 
OP XOR 0x86 对 输入 的 每 一 位 进行 布尔 异 或 运算 ， 已 禁用 
OP_EQUAL 0x87 如 果 输 入 的 两 个 数 相 等 ， 返 回 1， 和 否则 返回 0 
与 OP_EQUAL 一 样 ， 如 结果 为 0， 之 后 运行 
OP_EQUALVERIFY 0x88 OP. VERIFY 
OP RESERVED1 0x89 终止 - 无 效 交易 (除非 在 未 执行 的 OP_IF 78 4) v) 
OP RESERVED2 0x8a 终止 -无 效 交 易 〈《 除 非 在 未 执行 的 OP |F 语句 中 ) 
表 7. 数 值 操作 
ke a 值 (十 ~ 
i aL jl 
D NEA 六 进 制 ) 描述 
OP 1ADD Ox8b Be Tf 48 Jo 1 
OP 1SUB Ox8c 栈 顶 值 减 1 
OP 2MUL Ox8d 无 效 〈 栈 顶 值 乘 2 ) 
OP 2DIV Ox8e 无 效 〈 栈 顶 值 除 2 ) 
OP_NEGATE Ox8f 栈 顶 值 符号 取 反 
OP ABS 0x90 栈 顶 值 符号 取 正 
OP. NOT 0x91 如 果 栈 顶 值 为 0 或 1， 则 输出 1 或 0 SM 
输出 0 
OP ONOTEQUAL 0x92 输入 值 为 0 输出 0 ; 否则 输出 1 
OP ADD 0x93 弹出 栈 顶 的 两 个 元 素 ， 压 入 二 者 相 加 结果 
弹出 栈 顶 的 两 个 元 素 ， 压 入 二 者 相 减 〈 第 
OP SUB 0x94 站 
OP_MUL 0x95 禁用 《〈 栈 顶 两 项 的 积 ) 
OP_DIV 0x96 禁用 (输出 用 第 二 项 除 以 第 一 项 的 倍数 ) 
OP MOD 0x97 de (输出 用 第 二 项 除 以 第 一 项 得 到 的 余 
禁 移 第 二 | 移动 位 数 为 第 一 4 
OP_LSHIFT 0x98 | 57 eee c UR ae 
二 进 制 位 数 ) 
M 6-0 E x >% y Al 2 


二 进 制 位 数 ) 


OP BOOLAND 0x9a 尔 与 运算 ， 两 项 都 不 为 0 输出 1， 否 
u erm 


则 输出 

布尔 或 运算 ， 两 项 有 一 个 不 为 0， 输 出 
OP_BOOLOR Ox9b 1» 否则 输出 0 
OP_NUMEQUAL Ox9c 两 项 相等 则 输出 1， 否则 输出 为 0 

与 NUMEQUAL 相同 ， 如 结果 为 0 运行 
OP_NUMEQUALVERIFY Ox9d OP. VERIFY 
OP NUMNOTEQUAL Ox9e 如 果 栈 顶 两 项 不 是 相等 数 的 话 ， 则 输出 1 
OP LESSTHAN Ox9f 如 果 第 二 项 小 于 栈 顶 项 ， 则 输出 1 
OP_GREATERTHAN Oxa0 如 果 第 二 项 大 于 栈 顶 项 ， 则 输出 1 
OP LESSTHANOREQUAL 0xa1 如 果 第 二 项 小 于 或 等 于 第 一 项 ， 则 输出 1 
OP GREATERTHANOREQUAL € 0xa2 如 果 第 二 项 大 于 或 等 于 第 一 项 ， 则 输出 1 
OP_MIN 0xa3 输出 栈 顶 两 项 中 较 小 的 一 项 
OP MAX Oxa4 输出 栈 顶 两 项 中 较 大 的 一 项 

第 三 项 的 数值 介 于 前 两 项 之 间 ， 则 输 

OP_WITHIN 0xa5 E 的 数值 介 于 前 两 项 之 间 ， 则 输 


表 8. 加 密 和 散 列 操作 


OP. RIPEMD160 
OP SHA1 
OP SHA256 


OP HASH160 


OP HASH256 
OP CODESEPARATOR 


OP CHECKSIG 


OP CHECKSIGVERIFY 


OP CHECKMULTISIG 


OP CHECKMULTISIGVERIFY 


表 9. 非 操作 符 


kk ou 


yo 


OP_NOP1-OP_NOP10 


表 10. 仅 供 内 部 使 用 的 保留 关键 字 


kk o 


ATT 
OP_SMALLDATA 
OP_SMALLINTEGER 
OP_PUBKEYS 
OP_PUBKEYHASH 
OP_PUBKEY 
OP_INVALIDOPCODE 


Oxae 


Oxaf 


返回 栈 顶 项 的 RIPEMD160 哈 希 值 
返回 栈 顶 项 SHA1 哈 希 值 
返回 栈 顶 项 SHA256 哈 希 值 


栈 顶 项 进行 两 次 HASH， 先 用 SHA-256， 再 
用 RIPEMD-160 


栈 顶 项 用 SHA-256 算法 HASH 两 次 
标记 已 进行 签名 验证 的 数据 


交易 所 用 的 签名 必须 是 哈 布 值 和 公 
AL ^ de RA A > WIR I 


与 CHECKSIG 一 样 ， 但 之 后 运行 


钥 的 有 效 


OP_VERIFY 
对 于 每 对 签名 和 公 钥 运行 CHECKSIG。 所 有 
的 签名 要 与 公 钥 匹配 。 因 为 存在 BUG， 一 个 


未 使 用 的 外 部 值 会 从 堆栈 中 删除 。 


与 CHECKMULTISIG 一 样 ， 但 之 后 运行 
OP_VERIFY 


值 (十 六 进 制 ) Hat 
Oxb0-0xb9 无 操作 忽略 
六 进 制 ) 描述 


代表 小 数据 域 
代表 小 整数 数据 域 
代表 公 铀 域 
RRA FA Air Be 
RRA AA HR 

代表 当前 未 指定 的 操作 码 


附录 3、 比 特 币 改进 建议 (BIPs) 


比特 币 改进 提案 是 向 比特 币 社区 提供 信息 的 设计 文 覆 ， 或 用 于 描述 比特 币 的 新 功能 ， 流 程 或 
环境 。 


根据 BIP-01 也 就 是 BIP 目 的 和 指南 (BIP Purpose and Guidelines) 的 规定 ， 有 三 种 BIP : 
标准 类 BIP 


描述 影响 大 多 数 或 所 有 比特 币 实现 的 任何 更 改 ， 例 如 网 络 协议 的 更 改 ， 区 块 或 交易 有 效 性 规 
则 的 更 改 ， 或 影响 使 用 比特 币 的 应 用 程序 的 互 操作 性 的 任何 更 改 或 附加 。 


信息 类 BIP 


oj 
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a 或 建议 ， 因 此 用 户 和 实施 者 可 以 忽略 信息 类 BIP 或 遵循 他 们 的 建 
议 。 


过 程 类 BIP 


兽 述 一 个 比特 币 过 程 ， 或 者 提出 一 个 过 程 的 更 改 (或 一 个 事件 ) 。 过 程 类 BIP 类 似 于 标准 类 
RCL oa QU gs MU a qu d 
代码 库 ; 他 们 经 常 需要 社区 的 共识 ;与 信息 类 BIP 不 同 ， 它 们 不 仅仅 是 建议 ， 用 户 通 常 也 不 能 

意 忽略 它们 。 例 如 包括 程序 ， 指 南 ， 决 策 过 RD nr EE 
- o 任何 元 BIP 也 被 视 为 一 个 过 程 BIP 。 


BIP 记 录 在 GitHub 上 的 版 本 化 存储 库 中 : https://github.com/bitcoin/bips ° 下 表 BIP 的 快照 显示 
在 2017 年 4 月 BIP 的 快照 。 了 解 有 关 现 有 BIP 及 其 内 容 的 最 新 信息 请 咨询 权威 机 构 。 


BIP# Title Owner Type Status 

BIP-1 BIP Purpose and Guidelines Amir Taaki Process Replaced 

BIP-2 BIP process, revised Luke Dashjr Process Active 

BIP-8 Version bits with guaranteed lock-in Shaolin Fry Informational Draft 

BIP-9 Version bits with timeout and delay Pieter Wuille, Peter Todd, Greg Maxwell, Rusty 
Russell Informational Final 

BIP-10 Multi-Sig Transaction Distribution Alan Reiner Informational Withdrawn 

BIP-11 M-of-N Standard Transactions Gavin Andresen Standard Final 

BIP-12 OP EVAL Gavin Andresen Standard Withdrawn 

BIP-13 Address Format for pay-to-script-hash Gavin Andresen Standard Final 

BIP-14 Protocol Version and User Agent Amir Taaki, Patrick Strateman Standard Final 
BIP-15 Aliases Amir Taaki Standard Deferred 

BIP-16 Pay to Script Hash Gavin Andresen Standard Final 

BIP-17 OP CHECKHASHVERIFY (CHV) Luke Dashjr Standard Withdrawn 

BIP-18 hashScriptCheck Luke Dashjr Standard Proposed 

BIP-19 M-of-N Standard Transactions (Low SigOp) Luke Dashjr Standard Draft 


BIP-20 URI Scheme Luke Dashjr Standard Replaced 

BIP-21 URI Scheme Nils Schneider, Matt Corallo Standard Final 

BIP-22 getblocktemplate - Fundamentals Luke Dashjr Standard Final 

BIP-23 getblocktemplate - Pooled Mining Luke Dashjr Standard Final 

BIP-30 Duplicate transactions Pieter Wuille Standard Final 

BIP-31 Pong message Mike Hearn Standard Final 

BIP-32 Hierarchical Deterministic Wallets Pieter Wuille Informational Final 

BIP-33 Stratized Nodes Amir Taaki Standard Draft 

BIP-34 Block v2, Height in Coinbase Gavin Andresen Standard Final 

BIP-35 mempool message Jeff Garzik Standard Final 

BIP-36 Custom Services Stefan Thomas Standard Draft 

BIP-37 Connection Bloom filtering Mike Hearn, Matt Corallo Standard Final 

BIP-38 Passphrase-protected private key Mike Caldwell, Aaron Voisine Standard Draft 
BIP-39 Mnemonic code for generating deterministic keys Marek Palatinus, Pavol Rusnak, 
Aaron Voisine, Sean Bowe Standard Proposed 

BIP-40 Stratum wire protocol Marek Palatinus Standard BIP number allocated BIP-41 
Stratum mining protocol Marek Palatinus Standard BIP number allocated BIP-42 A finite 
monetary supply for Bitcoin Pieter Wuille Standard Draft 

BIP-43 Purpose Field for Deterministic Wallets Marek Palatinus, Pavol Rusnak Informational 
Draft 

BIP-44 Multi-Account Hierarchy for Deterministic Wallets Marek Palatinus, Pavol Rusnak 
Standard Proposed 

BIP-45 Structure for Deterministic P2SH Multisignature Wallets Manuel Araoz, Ryan X. 
Charles, Matias Alejo Garcia Standard Proposed 

BIP-47 Reusable Payment Codes for Hierarchical Deterministic Wallets Justus Ranvier 
Informational Draft 

BIP-49 Derivation scheme for PAWPKH-nested-in-P2SH based accounts Daniel Weigl 
Informational Draft 

BIP-50 March 2013 Chain Fork Post-Mortem Gavin Andresen Informational Final 

BIP-60 Fixed Length "version" Message (Relay-Transactions Field) Amir Taaki Standard 
Draft 

BIP-61 Reject P2P message Gavin Andresen Standard Final 

BIP-62 Dealing with malleability Pieter Wuille Standard Withdrawn 

BIP-63 Stealth Addresses Peter Todd Standard BIP number allocated BIP-64 getutxo 
message Mike Hearn Standard Draft 

BIP-65 OP CHECKLOCKTIMEVERIFY Peter Todd Standard Final 

BIP-66 Strict DER signatures Pieter Wuille Standard Final 

BIP-67 Deterministic Pay-to-script-hash multi-signature addresses through public key sorting 
Thomas Kerin, Jean-Pierre Rupp, Ruben de Vries Standard Proposed 

BIP-68 Relative lock-time using consensus-enforced sequence numbers Mark Friedenbach, 


BtcDrak, Nicolas Dorier, kinoshitajona Standard Final 

BIP-69 Lexicographical Indexing of Transaction Inputs and Outputs Kristov Atlas 
Informational Proposed 

BIP-70 Payment Protocol Gavin Andresen, Mike Hearn Standard Final 

BIP-71 Payment Protocol MIME types Gavin Andresen Standard Final 

BIP-72 bitcoin: uri extensions for Payment Protocol Gavin Andresen Standard Final 

BIP-73 Use "Accept" header for response type negotiation with Payment Request URLs 
Stephen Pair Standard Final 

BIP-74 Allow zero value OP RETURN in Payment Protocol Toby Padilla Standard Draft 
BIP-75 Out of Band Address Exchange using Payment Protocol Encryption Justin Newton, 
Matt David, Aaron Voisine, James MacWhyte Standard Draft 

BIP-80 Hierarchy for Non-Colored Voting Pool Deterministic Multisig Wallets Justus Ranvier, 
Jimmy Song Informational Deferred 

BIP-81 Hierarchy for Colored Voting Pool Deterministic Multisig Wallets Justus Ranvier, 
Jimmy Song Informational Deferred 

BIP-83 Dynamic Hierarchical Deterministic Key Trees Eric Lombrozo Standard Draft 
BIP-90 Buried Deployments Suhas Daftuar Informational Draft 

BIP-99 Motivation and deployment of consensus rule changes ([soft/hard]forks) Jorge Timón 
Informational Draft 

BIP-101 Increase maximum block size Gavin Andresen Standard Withdrawn 

BIP-102 Block size increase to 2MB Jeff Garzik Standard Draft 

BIP-103 Block size following technological growth Pieter Wuille Standard Draft 

BIP-104 'Block75' - Max block size like difficulty t.k«han Standard Draft 

BIP-105 Consensus based block size retargeting algorithm BtcDrak Standard Draft 
BIP-106 Dynamically Controlled Bitcoin Block Size Max Cap Upal Chakraborty Standard 
Draft 

BIP-107 Dynamic limit on the block size Washington Y. Sanchez Standard Draft 

BIP-109 Two million byte size limit with sigop and sighash limits Gavin Andresen Standard 
Rejected 

BIP-111 NODE BLOOM service bit Matt Corallo, Peter Todd Standard Proposed 

BIP-112 CHECKSEQUENCEVERIFY BtcDrak, Mark Friedenbach, Eric Lombrozo Standard 
Final 

BIP-113 Median time-past as endpoint for lock-time calculations Thomas Kerin, Mark 
Friedenbach Standard Final 

BIP-114 Merkelized Abstract Syntax Tree Johnson Lau Standard Draft 

BIP-120 Proof of Payment Kalle Rosenbaum Standard Draft 

BIP-121 Proof of Payment URI scheme Kalle Rosenbaum Standard Draft 

BIP-122 URI scheme for Blockchain references / exploration Marco Pontello Standard Draft 
BIP-123 BIP Classification Eric Lombrozo Process Active 

BIP-124 Hierarchical Deterministic Script Templates Eric Lombrozo, William Swanson 


Informational Draft 

BIP-125 Opt-in Full Replace-by-Fee Signaling David A. Harding, Peter Todd Standard 
Proposed 

BIP-126 Best Practices for Heterogeneous Input Script Transactions Kristov Atlas 
Informational Draft 

BIP-130 sendheaders message Suhas Daftuar Standard Proposed 

BIP-131 "Coalescing Transaction" Specification (wildcard inputs) Chris Priest Standard Draft 
BIP-132 Committee-based BIP Acceptance Process Andy Chase Process Withdrawn 
BIP-133 feefilter message Alex Morcos Standard Draft 

BIP-134 Flexible Transactions Tom Zander Standard Draft 

BIP-140 Normalized TXID Christian Decker Standard Draft 

BIP-141 Segregated Witness (Consensus layer) Eric Lombrozo, Johnson Lau, Pieter Wuille 
Standard Draft 

BIP-142 Address Format for Segregated Witness Johnson Lau Standard Deferred 

BIP-143 Transaction Signature Verification for Version 0 Witness Program Johnson Lau, 
Pieter Wuille Standard Draft 

BIP-144 Segregated Witness (Peer Services) Eric Lombrozo, Pieter Wuille Standard Draft 
BIP-145 getblocktemplate Updates for Segregated Witness Luke Dashjr Standard Draft 
BIP-146 Dealing with signature encoding malleability Johnson Lau, Pieter Wuille Standard 
Draft 

BIP-147 Dealing with dummy stack element malleability Johnson Lau Standard Draft 
BIP-148 Mandatory activation of segwit deployment Shaolin Fry Standard Draft 

BIP-150 Peer Authentication Jonas Schnelli Standard Draft 

BIP-151 Peer-to-Peer Communication Encryption Jonas Schnelli Standard Draft 

BIP-152 Compact Block Relay Matt Corallo Standard Draft 

BIP-171 Currency/exchange rate information API Luke Dashjr Standard Draft 

BIP-180 Block size/weight fraud proof Luke Dashjr Standard Draft 

BIP-199 Hashed Time-Locked Contract transactions Sean Bowe, Daira Hopwood Standard 
Draft 


Mt 3x4 ^ RA UE 


隔离 见证 (segwit) 是 一 次 比特 币 共识 规则 和 网 络 协议 的 升级 ， 其 提议 和 实施 将 基于 BlIP-9 软 
分 又 方案 ， 目 前 尚 待 激活 ( 译 者 注 : 2017 年 8 月 24 日 ， 区 块 高 度 481,824， 隔 离 见 证 正式 激 
x) S 


在 密码 学 中 ， 术 语 “ 见 证 ”(Witness) 被 用 于 形容 一 个 加 密 难 题 的 解决 方案 。 在 比特 币 中 ，“ 见 
证 "满足 了 一 种 被 放置 在 一 个 未 使 用 的 交易 输出 (unspent transaction output, UTXO) 上 的 加 
密 条 件 。 


在 比特 币 语 境 中 ， 一 个 数字 签名 就 是 一 种 类 型 的 “见证 ”(one type of witness) 。 但 “见证 ?是 一 
个 更 为 广泛 的 任意 解决 方案 ， 能 够 满足 加 诸 于 一 个 UTXO 的 条 件 ， 使 UTXO 解 锁 后 可 被 花费 。 
术语 “见证 "一 词 是 一 个 更 普遍 用 于 “解锁 脚本 ”( 或 scriptSig) 的 术语 。 


在 引入 “隔离 见证 "之 前 ， 每 一 个 交易 输入 后 面 都 跟着 用 来 对 其 解锁 的 见证 数据 ， 见 证 数据 作为 
输入 的 一 部 分 被 内 嵌 其 中 。 术 语 “ 隔 离 见 证 ”( segregated witness) ， 或 简称 为 ‘segwit”， 简 
单 理解 就 是 将 茶 个 特定 输出 的 签名 分 离开 ， 或 将 某 个 特定 输入 的 脚本 进行 解锁 。 用 最 简单 的 
形式 来 理解 就 是 "分离 解锁 脚本 ”(separate scriptSig) ， 或 “分 离 签 名 ”(separate signature ) 


因此 ， 隔 离 见 证 就 是 比特 币 的 一 种 结构 性 调整 ， 旨 在 将 见证 数据 部 分 从 一 笔 交 易 的 
scriptSig (解锁 脚本 ) 字段 移出 至 一 个 伴随 交易 的 单独 的 见证 数据 结构 。 客 户 端 请 求 交易 数据 
时 可 以 选择 要 或 不 要 该 部 分 伴随 的 见证 数据 。 


一 章节 ， 我 们 将 会 看 到 隔离 EU GE ， 描 述 用 于 部 署 和 实施 该 结构 性 调整 的 机 
， 并 展示 隔离 见证 在 交易 和 地 址 中 的 运 


隔离 见证 由 以 下 BIPs 定 义 : 
BlIP-141 隔 离 见 证 的 主要 定义 

BIP-143 版 本 0 见证 程序 的 交易 签名 验证 
BIP-144 对 等 服务 一 一 新 的 网 络 消息 和 序列 化 格式 


BIP-145 隔 离 见 证 (对 于 矿工 ) 的 getblocktemplate 升级 


4.1 为 什么 需要 隔离 见证 ? 


隔离 见证 是 一 个 将 在 多 方面 产生 影响 的 结构 性 调整 一 一 可 扩展 性 、 安 全 性 、 经 济 刺 激 以 及 比 
特 币 整体 性 能 : 


交易 延展 性 


将 见证 移出 交易 后 ， 用 作 标 识 符 的 交易 哈 希 不 再 包含 见证 数据 。 因 为 见证 数据 是 交易 中 唯一 
可 被 第 三 方 修改 (参见 交易 识别 符 章节 ) 的 部 分 ， 移 除 它 的 同时 也 移 除 了 交易 延展 性 攻击 的 
机 会 。 通 过 隔离 见证 ， 交 易 变 得 对 任何 人 (创建 者 本 人 除外 ) 都 不 可 变 ， 这 极 大 地 提高 了 许 
多 其 它 依赖 于 高 级 比特 币 交 易 架 构 的 协议 的 可 执行 性 。 比 如 支付 通道 、 跨 连 交 易 和 闪电 网 
络 。 


脚本 版 本 管理 


在 引入 隔离 见证 脚本 后 ， 类 似 于 交易 和 区 块 都 有 其 版 本 号 ， 每 一 个 锁定 脚本 前 也 都 有 了 一 个 
脚本 版 本 号 。 脚 本 版 本 号 的 条 件 允许 脚本 语言 用 一 种 向 后 兼容 的 方式 (也 就 是 软 分 又 升级 ) 
升级 ， 以 引入 新 的 脚本 操作 数 、 语 法 或 语义 。 非 破坏 性 升级 脚本 语言 的 能 力 将 极 大 地 加 快 比 
特 币 的 创新 速度 。 


网 络 和 存储 扩展 


见证 数据 通常 是 交易 总 体积 的 重要 贡献 者 。 更 复杂 的 脚本 通常 非常 大 ， 比 如 那些 用 于 多 重 签 
名 或 支付 通道 的 脚本 。 有 时 候 这 些 脚本 占据 了 一 笔 交 易 的 大 部 分 (超过 75%) 空间 。 通 过 将 
见证 数据 移出 交易 ， 隔 离 见证 提升 了 比特 币 的 可 扩展 性 。 节 点 能 够 在 验证 签名 后 去 除 见证 数 
据 ， 或 在 作 简 单 支付 验证 时 整个 忽略 它 。 见 证 数据 不 需要 被 发 送 至 所 有 节点 ， 也 不 需要 被 所 
有 节点 存储 在 硬盘 中 。 


签名 验证 优化 


隔离 见证 升级 签名 函数 (CHECKSIG, CHECKMULTISIG, 等 ) 减少 了 算法 的 计算 复杂 性 。 引 
入 隔离 见证 前 ， 用 于 生成 签名 的 算法 需要 大 量 的 哈 希 操作 ， 这 些 操作 与 交易 的 大 小 成 正比 。 
在 O(n2) 中 关于 签名 操作 数量 方面 ， 数 据 哈 希 计算 增加 ， 在 所 有 节点 验证 签名 上 引入 了 大 量 计 
算 负 担 。 引 入 隔离 见证 后 ， 算 法 更 改 减 少 了 O(n2) 的 复杂 性 。 


离线 签名 改进 


隔离 见证 签名 包含 了 在 被 签名 的 哈 希 数列 中 ， 每 个 输入 所 引用 的 值 (数量 ) 。 在 此 之 前 ， 一 
个 离线 签名 装置 ， 比 如 硬件 钱包 ， 必 须 在 签署 交易 前 验证 每 一 个 输入 的 数量 。 这 通常 是 通过 
大 量 的 数据 流 来 完成 的 ， 这 些 数据 是 关于 以 前 的 交易 被 引用 作为 输入 的 。 由 于 该 数量 现在 是 
已 签名 的 承诺 哈 希 散 列 的 一 部 分 ， 因 此 离线 装置 不 需要 以 前 的 交易 。 如 果 数量 不 匹配 (被 一 
个 折 中 的 在 线 系统 误 报 ) ， 则 签名 无 效 。 


4.2 隔 离 见 证 如 何 工作 


乍 一 看 ， 隔离 见 证 似乎 是 对 交易 如 何 构 建 的 更 改 ， 因 此 是 一 个 交易 层面 的 特性 ， 但 事实 并 非 
如 此 。 实 际 上 ， 隔 离 见 证 也 更 改 了 单个 UTXO 如 何 被 使 用 的 方式 ， 因 此 它 是 一 个 输出 层面 的 特 
小 o 


一 个 交易 可 以 引用 隔离 见证 输出 或 传统 (内 联 见 证 ) 输出 ， 或 者 两 者 惨 可 。 因 此 ， 把 一 个 交 
钨 称 作 “隔离 见证 交易 ?是 没有 意义 的 。 但 是 我 们 可 以 把 某 个 特定 的 交易 输出 叫做 "隔离 见证 输 
th” A 


当 一 个 交易 引用 一 个 UTXO， 它 必须 提供 一 个 见证 。 如 果 是 传统 的 UTXO， 一 个 交易 在 引用 它 
时 ，UTXO 的 锁定 脚本 要 求 见 证 数据 在 该 交易 输出 部 分 中 以 “内 联 ”(inline) 的 方式 被 提供 。 但 
隔离 见证 UTXO 指 定 的 锁定 脚本 却 能 满足 处 于 输入 之 外 (被 隔离 ) 的 见证 数据 。 


4.3 软 分 又 〈 向 后 兼容 性 ) 


隔离 见证 对 于 输出 和 交易 的 构建 的 方式 是 一 个 十 分 重大 的 改变 。 这 样 的 改变 将 通常 需要 每 一 
个 比特 币 节点 和 钱包 同时 发 生 ， 以 改变 共识 规则 即 所 谓 的 “ 硬 分 又 "。 但是， 隔离 见证 通过 
一 个 更 少 破 坏 性 的 改变 引入 ， 这 种 变化 能 向 后 兼容 ， 被 称 作 " 软 分 又 "。 这 种 类 型 的 升级 允许 未 
升级 的 软件 去 忽略 那些 改变 然后 继续 去 操作 避免 任何 分 裂 。 





隔离 见证 输出 被 设计 成 老 的 “ 非 隔离 见证 "系统 仍然 能 够 验证 它们 ， 对 于 老 的 钱包 或 节点 来 说 ， 
一 个 隔离 见证 输出 看 起 来 就 像 一 个 “任何 人 都 能 花费 ”(anyone can spend) 的 输出 。 这 样 的 输 
出 能 被 一 个 空 的 签名 花费 ， 因 此 一 个 交易 里 面 没有 签名 (签名 被 隔离 ) 的 事实 也 并 不 会 导致 
该 交易 不 被 验证 。 但 是 ， 更 新 的 钱包 和 挖 矿 节 点 能 够 看 到 隔离 见证 输出 ， 并 期 望 在 交易 的 见 
证 数据 中 为 该 输出 找到 一 个 有 效 的 见证 。 


4.4 隔 离 见 证 输出 和 交易 示例 


让 我 们 来 看 一 些 交易 示例 ， 看 看 他 们 是 如 何 随 着 隔离 见证 而 改变 的 。 我 们 将 首先 看 看 通过 隔 
离 见 证 程序 ， 如 何 被 改变 一 个 “支付 给 公 铀 哈 硕 "〈Pay-to-Public-Key-Hash > P2PKH) 的 支 
付 。 然 后 ， 我 们 再 看 同样 的 隔离 见证 如 何 作 用 于 “支付 给 脚本 公 钥 ”(Pay-to-Script-Hash > 
P2SH) 脚本 。 最 后 ， 我 们 会 看 看 以 上 两 种 隔离 见证 程序 如 何 可 以 被 内 谋 入 一 个 P2SH 脚本 。 


4.4.1Pay-to-Witness-Public-Key-Hash (P2WPKH) 

在 【一 杯 咖 啡 】 的 例子 中 ，Alice 为 一 杯 咖啡 创建 了 一 笔 交 易 去 付款 给 Bob， 该 笔 交 易 构 建 了 
一 个 价值 0.015BTC 的 P2PKH 输出 (Bob 可 用 来 花费 ) ， 该 输出 脚本 看 起 来 像 这 样 : 
P2PKH 输出 脚本 示例 : 

DUP HASH160 ab68025513c3dbd2f7b92a94e0581f5d50f654e7 EQUALVERIFY CHECKSIG 

do Ri LEA A LAE Alicedt 2| i A X 425 WEA FAS Ar” (P2WPKH) 脚本 ， 看 起 来 是 
这 样 的 : 

P2WPKH 输出 脚本 示例 : 


0 ab68025513c3dbd2f7b92a94e0581f5d50f654e7 


正如 你 所 见 ， 一 个 隔离 见证 输出 的 锁定 脚本 相对 一 个 传统 输出 明显 大 为 简化 。 它 包含 两 个 
值 ， 这些 值 被 推送 到 脚本 评估 堆栈 中 。 对 于 一 个 传统 ( 非 隔 离 见证 ) 比特 币 客 户 端 来 说 ， 这 
两 个 推送 值 看 起 来 像 一 个 任何 人 都 能 花费 的 输出 而 不 需要 签名 (或 者 更 确切 的 说 ， 能 被 空 的 
签名 使 用 ) 。 而 对 一 个 更 新 的 、 隔 离 见 证 客户 端 来 说 ， 第 一 个 数字 (0) 被 解释 为 一 个 版 本 号 
(见证 版 本 ) ， 第 二 部 分 (20 字 节 ) 相当 于 一 个 锁定 脚本 ， 被 称 为 “见证 程序 ”( witness 
program) 。 这 20 字 节 的 见证 程序 即 是 公 角 哈 希 值 ， 就 像 在 P2PKH 脚本 中 一 样 。 


现在 ， 让 我 们 来 看 看 Bob 用 来 去 花费 这 个 输出 相应 的 交易 。 对 于 初始 脚本 ( 非 隔离 见证 ) > 
Bob 的 交易 必须 包含 签名 在 交易 输入 中 : 
以 下 被 解码 的 交易 显示 了 一 个 P2PKH 输出 被 一 个 签名 使 用 : 


| Vn td 
"0627052b6f28912f2703066a912ea577f2ce4da4caa5a5fbd8a57286c345c2f2", "vout": ©, "scriptSig": 
"«Bob's scriptSig»",][...] 


但 是 ， 使 用 一 个 隔离 见证 输出 时 ， 交 易 输 入 内 不 存在 签名 。 替 代 的 ，Bob 的 交易 只 有 一 个 空 的 
scriptSig ， 并 在 交易 本 身 之 外 包含 了 一 个 隔离 见证 : 


以 下 被 解码 的 交易 显示 了 一 个 被 隔离 见证 数据 使 用 的 PAWPKH 输出 : 


Eao AVE text s: 
"0627052b6f28912f2703066a912ea577f2ceA4da4caababfbd8a57286c345c2f2","vout": ©, "scriptSig": 
“",][...]“witness”: "«Bob's witness data»"[...] 
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尤其 值得 注意 的 是 ，P2WPKH BRR AURA (接收 方 ) 创建 ， 而 不 是 由 发 送 者 从 已 知 的 公 
4A ` P2PKH 脚本 或 地 址 进行 转换 。 发 送 方 无 从 知道 接收 者 的 钱包 是 和 否 具 有 能 力 构建 隔离 见证 
交易 ， 并 使 用 P2WPKH 输出 。 


另外 ，P2WPKH 输出 必须 从 被 压缩 的 公 负 的 哈 希 值 中 创建 。 未 压缩 公 角 在 隔离 见证 中 是 非 标 
准 的 ， 可 能 会 被 将 来 的 软 分 又 明确 禁用 。 如 果 在 P2WPKH 中 使 用 的 哈 希 值 来 自 未 压缩 的 公 
钥 ， 那 么 它 可 能 不 可 用 ， 您 将 可 能 丢失 资金 。P2WPKH 输出 应 该 由 收 款 人 的 钱包 ， 通 过 从 钱 
包 私 钥 中 获取 压缩 公 铀 进行 创建 。 


警告 P2WPKH 应 该 由 收 款 人 (接收 者 ) 通过 将 被 压缩 的 公 钥 转换 成 P2VWPKH 哈 希 值 进行 创 
建 。 你 绝 不 应 该 将 P2PKH 脚 本 、 比 特 币 地 址 或 未 压缩 公 钥 转换 成 P2VWPKH 见 证 脚本 。 


4.4.3Pay-to-Witness-Script-Hash (P2WSH) 


第 二 种 类 型 的 检 证 程序 对 应 一 个 "支付 给 脚本 哈 希 ”( Pay-to-Script-Hash , P2SH) 脚本 。 我 们 
在 [p2sh] 这 章 中 见 过 。 在 哪个 例子 中 ， 称 罕 默 德 的 公司 使 用 了 P2SH 来 表达 一 个 多 重 签名 脚 
本 。 对 穆罕默德 的 公司 的 支付 被 编码 成 一 个 这 样 的 锁定 脚本 : 


P2SH 输出 脚本 示例 : 


HASH160 54c557e07dde5bb6cb791c7a540e0a4796f5e97e EQUAL 


这 个 P2SH 脚 本 引用 了 一 个 赎 回 脚本 ( redeem script ) 的 哈 希 值 ， 改 脚本 定义 了 一 个 “2 of 
3" 的 多 重 签名 需求 来 使 用 资金 。 为 了 使 用 该 输出 ， 称 罕 默 德 的 公司 将 提供 这 个 赎 回 脚 本 (其 哈 
希 值 与 P2SH 输出 中 的 脚本 哈 希 值 匹配 ) ， 以 及 满足 该 赎 回 脚本 所 需 的 签名 ， 所 有 这 些 都 在 交 
易 输 出 中 : 


显示 一 个 P2SH 输 出 被 使 用 的 解码 交易 : 


[...]“Vin” : ["txid": "abcdef12345...","vout": 0, "scriptSig": "«SigA» «SigB» «2 PubA PubB 
PubC PubD PubE 5 CHECKMULTISIG>”, ] 


现在 ， 让 我 们 看 看 整个 示例 如 何 升级 成 为 隔离 见证 。 如 果 穆罕默德 的 客户 使 用 的 是 一 个 隔离 
见证 兼容 的 钱包 ， 他 们 就 会 付款 ， 创 建 一 个 “支付 给 脚本 哈 希 "(P2WSH) 输 出 ， 看 起 来 就 像 这 
样 : 


P2WSH 输出 脚本 示例 : 


© 9592d601848d04b172905e0ddbO0adde59f1590f1e553ffc81ddc4b0ed927dd73 


再 一 次 ， 就 像 P2WPKH 的 例子 一 样 ， 你 可 以 看 到 ， 隔 离 见证 等 同 脚本 要 简单 得 多 ， 省 略 了 各 
种 你 在 P2SH 脚 本 中 见 到 的 脚本 操作 符 。 相 反 ， 隔 离 见 证 程序 仅 包含 两 个 推送 到 堆栈 的 值 : 一 
个 见证 版 本 (0) 和 一 个 32 字 节 的 屿 回 脚 本 的 哈 希 值 。 


提示 当 P2SH 使 用 20 字 节 的 RIPEMD160(SHA256(script)) 哈 希 值 时 ，P2VWSH 见 证 程序 使 用 了 
一 个 32 字 节 的 SHA256 (脚本 ) 哈 希 值 。 在 选择 哈 希 算法 时 ， 这 一 差异 是 有 意 为 之 ， 被 用 于 通 
过 哈 希 值 长 度 来 区 分 两 种 类 型 的 见证 程序 (P2WPKH and P2WSH) ， 并 为 P2WSH (128 位 
而 不 是 80 位 P2SH) 提供 更 强 的 安全 性 。 


穆罕默德 的 公司 可 以 通过 提供 正确 的 赎 回 脚本 和 足够 的 签名 满足 并 花 出 P2WSH 输 出 。 作 为 见 
证 数据 的 一 部 分 ， 赎 回 脚本 和 签名 被 隔离 在 此 支出 交易 之 外 。 在 交易 输入 内 部 ， 称 军 默 德 的 
钱包 会 防止 一 个 空 的 scriptSig : 

显示 了 一 个 P2WSH 输 出 被 用 隔离 见证 数据 花 出 的 解码 交易 : 


[...]^"Vin" : ["txid": "abcdef12345...","vout": 0, "scriptSig": "",][...]"witness": “<SigA> 
«SigB» «2 PubA PubB PubC PubD PubE 5 CHECKMULTISIG»"[...] 


4.4.4 区 分 P2WPKH 和 P2WSH 


在 前 面 的 两 节 中 ， 我 们 展示 了 两 种 类 型 的 检 证 程序 : 支付 给 见证 公 铀 哈 希 (P2WPKH) 和 支付 
给 见证 脚本 哈 希 (P2WSH) 。 这 两 种 检 十 程序 都 有 一 个 字 节 版 本 号 和 一 个 跟随 其 后 的 更 长 的 哈 
希 值 组 成 。 它 们 看 起 来 非常 相似 ， 但 是 被 解释 得 非常 不 同 : 一 个 被 解释 为 一 个 公 铀 哈 希 值 ， 

它 被 一 个 签名 所 满足 ， 另 一 个 被 解释 为 一 个 脚本 哈 希 值 ， 它 被 一 个 赎 回 脚本 所 满足 。 他 们 之 
间 的 关键 区 别 是 哈 希 值 的 长 度 : 


e P2WPKH 中 的 公 铀 哈 希 值 是 20 字 节 。 


e P2WSH 中 的 脚本 哈 希 值 是 32 字 节 。 


这 个 区 别 使 得 钱包 可 以 对 这 两 种 类 型 的 见证 程序 进行 区 分 。 通 过 查看 哈 希 值 的 长 度 ， 钱 包 可 
以 确定 它 是 什么 类 型 的 见证 程序 ，P2WPKH 或 者 P2WSH 。 
4.5 隔 离 见证 升级 
正如 我 们 前 面 看 到 的 例子 ， 隔 离 见 证 的 升级 需要 经 过 两 步 过 程 。 首 先 ， 钱 包 必 须 创 建 特殊 的 


隔离 型 输出 。 然 后 ， 这 些 输 oo dk 离 见 证 交易 的 钱包 花费 。 在 这 些 例子 

中 ，Alice 的 钱包 是 segwit 意 识 到 的 ， 并 且 能 够 使 用 Segregated Witness 脚 本 创建 特殊 输出 。 
Bob 的 钱包 也 是 segwit 意 识 到 ， 并 能 够 花 这 些 输 出 。 从 这 个 例子 中 可 能 不 明显 的 是 ， 在 实践 
中 ，Alice 的 钱包 需要 知道 Bob 使 用 了 一 个 支持 segwit 的 钱包 ， 并 可 以 使 用 这 些 输 出 。 否 则 ， 如 
果 Bob 的 钱包 没有 升级 ， 并 且 Alice 试 图 对 Bob 进 行 隔离 见证 付款 ， 那 么 Bob 的 钱包 将 无 法 检测 
到 这 些 付 款 。 


提示 对 于 P2WPKH 和 P2WSH 付 款 类 型 ， 发 件 人 和 收 件 人 钱包 都 需要 升级 才能 使 用 segwit。 此 
外 ， 发 件 人 的 钱包 需要 知道 收 件 人 的 钱包 是 否 具 有 隔离 识别 功能 。 


隔离 见证 不 会 在 整个 网 络 中 同时 实施 。 相 反 ， 隔 离 见 证 被 实施 为 向 后 兼容 的 升级 ， 其 中 新 老 
客户 可 以 共存 。 钱 包 开 发 人 员 将 独立 升级 钱包 软件 以 添加 隔离 区 功能 。 当 发 件 人 和 收 件 人 都 
可 以 感知 到 网 志 时 ， 使 用 P2WPKH 和 P2WSH 付 款 类 型 。 传 统 的 P2PKH 和 P2SH 将 继续 为 非 升 
级 的 钱包 工作 。 这 留 下 了 两 个 重要 的 情况 ， 下 一 节 将 讨论 这 个 情况 : 


© 发 件 人 的 钱包 的 能 力 ， TRUE RUM 付款 的 收 件 人 的 钱包 ， 可 以 处 理 segwit 交 易 。 
© 具有 隔离 识别 功能 的 发 件 人 钱包 能 够 识别 和 区 ies P o UR 
地 址 的 收 件 人 。 
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举 个 例子 ， 假 设 Alice 的 钱包 没有 升级 到 segwit， 但 是 Bob 的 钱包 已 经 升级 ， 可 以 处 理 segwit 交 
易 。Alice 和 Bob 可 以 使 用 “ 昌 ” 非 Segwit 交 易 。 但 是 Bob 很 可 能 会 使 用 segwit 来 降低 交易 费用 ， 
利用 适用 于 见证 数据 的 折扣 。 


在 这 种 情况 下 ，Bob 的 钱包 可 以 构建 一 个 包含 一 个 segwit 脚 本 的 P2SH 地 址 。Alice 的 钱包 认为 
这 是 一 个 “正常 的 "P2SH 地 址 ， 并 可 以 在 没有 任何 segwit 的 知识 的 情况 下 付款 。 然 后 ，Bob 的 钱 
包 可 以 通过 隔离 交易 来 支付 这 笔 款 项 ， 充 分 利用 隔离 交易 并 降低 交易 费用 。 


两 种 形式 的 见证 脚本 P2PKH 和 P2WSH 都 可 以 网 入 到 P2SH 地 址 中 。 第 一 个 是 
P2SH (P2PKH) ， 第 二 个 是 P2SH (P2WSH) 。 


4.5.2 在 P2SH 中 的 P2WPKH 


见证 脚本 的 第 一 种 形式 是 P2SH (P2WPKH) ° x X — ^ Pay-to-Witness-Public-Key-Hash tE 
明 程 序 ， 诅 入 在 Pay-to-Script-Hash 脚 本 中 ， 所 以 它 可 以 被 不 知道 Segwit 的 钱包 使 用 。 


Bob 的 钱包 用 Bob 的 公 钥 构造 了 一 个 P2WPKH 见 证 程序 。 这 个 见证 程序 然后 被 散 列 ， 结 果 散 列 
被 编码 为 P2SH 脚 本 。P2SH 脚 本 被 转换 成 比特 币 地 址 ， 一 个 以 “3” 开 始 的 地 址 ， 正 如 我 们 在 
[P2SH] 部 分 看 到 的 那样 。 


Bob 的 钱包 从 我 们 之 前 看 到 的 P2WPKH 见证 程序 开始 : 
Bob 的 见证 程序 : 
© ab68025513c3dbd2f7b92a94e0581f5d50f654e7 
P2WPKH 见 证 程序 由 见证 版 本 和 Bob 的 20 字 节 公 钥 散 列 组 成 。 
Bob 的 钱包 然后 散 列 之 前 的 见证 程序 ， 先 用 SHA256， 然 后 用 RIPEMD160， 产 生 另 一 个 20 字 
节 的 散 列 : 
P2WPKH 见 证 程序 的 HASH160 
3e0547268b3b19288b3adef9719ec8659f4b2b0b 
然后 见证 程序 的 hash 诅 入 到 P2SH 脚 本 中 : 
HASH160 3e0547268b3b19288b3adef9719ec8659f4b2bO0b EQUAL 
最 后 ，P2SH 脚 本 转换 为 P2SH 比 特 币 地 址 : 
37Lx99uaGn5avKBxiW26HjedQES3LrDCZru 


现在 ，Bob 可 以 显示 这 个 地 址 给 顾客 付 钱 买 咖啡 。Alice 的 钱包 可 以 支付 给 不 支持 隔离 见证 的 
地 址 ， 就 像 任何 其 他 比特 币 地 址 一 样 。 尽 管 Alice 的 钱包 不 支持 segwit， 但 它 创建 的 付款 可 以 
由 Bob 使 用 Segwit 交 易 进 行 支付 。 


4.5.3P2SH 内 的 P2WSH 


同样 ， 一 个 用 于 multisig 脚 本 或 其 他 复杂 脚本 的 P2WSH 见 证 程序 可 以 诅 入 到 P2SH 脚 本 和 地 址 
中 ， 使 得 任何 钱包 都 可 以 进行 与 segwit 兼 容 的 支付 。 


正如 我 们 在 Pay-to-Witness-Script-Hash (P2WSH) 中 看 到 的 ， 称 军 默 德 的 公司 正在 使 用 隔离 
见证 对 多 重 签名 脚本 的 付款 。 为 了 让 任何 客户 支付 他 的 公司 ， 无 论 他 们 的 钱包 是 否 升级 为 隔 
离开 关 ， 称 罕 黑 德 的 钱包 都 可 以 在 P2SH 脚 本 中 骨 入 P2WSH 见 证 程序 。 


首先 ， 和 穆罕默德 的 钱包 创建 与 多 重 签名 脚本 对 应 的 P2WSH 见 证 程序 ， 并 用 SHA256 进 行 哈 希 
Ah SE: 


穆罕默德 的 钱包 创建 了 P2WSH 见 证 程序 


0 9592d601848d04b172905e0ddbO0adde59f1590f1e553ffc81ddc4b0ed927dd73 


然后 ， 见 证 程序 本 身 用 SHA256 和 RIPEMD160 散 列 ， 产 生 一 个 新 的 20 字 节 散 列 ， 如 传统 的 
P2SH 所 使 用 的 散 列 : 


P2WSH 见 证 程序 的 HASH160 
86762607e8fe87c0c37740cddee880988b9455b2 

接 下 来 ， 穆 军 默 德 的 钱包 将 哈 希 码 放 入 P2SH 脚 本 中 : 
HASH160 86762607e8fe87c0c37740cddee880988b9455b2 EQUAL 


最 后 ， 钱 包 从 这 个 脚本 构造 一 个 比特 币 地 址 : 


3Dwz1MXhM6EfFoJChHCxh1jwHb8GQqRenG 


现在 ， 称 罕 默 德 的 客户 可 以 付款 到 这 个 地 址 ， 而 不 需要 支持 segwit RE > BEREHAT 
以 构建 隔离 交易 来 支付 这 些 款项 ， 利 用 包括 较 低 的 交易 费用 在 内 的 隔离 功能 。 


4.5.4 隔 离 见 证 地 址 


在 将 比特 币 部 署 在 比特 币 网 络 之 后 ， 钱 包 升级 之 前 需要 一 些 时 间 。 因 此 ， 很 可 能 像 我 们 在 前 
一 节 中 看 到 的 那样 ，segwit 将 主要 用 于 亦 入 到 P2SH 中 ， 至 少 几 个 月 。 


但 是 ， 最 终 几 乎 所 有 的 钱包 都 能 够 支持 隔离 支付 。 那 时 就 不 再 需要 在 P2SH 中 诅 入 segwit。 
此 ， 可 能 会 创建 一 种 新 的 比特 币 地 址 形式 ， 表 明 接收 者 是 具有 隔离 意识 的 ， 并 直接 对 证 人 程 
序 进 行 编码 。 有 关 隔 离 见 证 人 地 址 计划 的 建议 有 很 多 ， 但 没有 一 个 被 积极 推行 。 


4.5.5 交 易 标 识 符 
隔离 见证 的 最 大 好 处 之 一 就 是 消除 了 第 三 方 交易 延展 性 。 


在 segwit 之 前 ， 交 易 可 以 通过 第 三 方 微妙 地 修改 其 签名 ， 在 不 改变 任何 基本 属性 (MA? 
出 ， 人 金额 ) 的 情况 下 更 改 其 交易 ID ( 散 列 ) 。 这 为 拒绝 服务 攻击 创造 了 机 会 ， 以 及 攻击 了 编 
写 不 好 的 钱包 软件 ， 这 些 软件 假定 未 经 证 实 的 交易 哈 希 是 不 可 变 的 。 


通过 引入 隔离 见证 ， 交 易 有 两 个 标识 符 txid 和 WwWtxid。 传 统 的 交易 ID txid 是 序列 化 交易 的 双 
SHA256 散 列 ， 没 有 见证 数据 。 交 易 wtxid 是 具有 见证 数据 的 交易 的 新 序列 化 格式 的 双 SHA256 
散 列 。 


传统 txid 的 计算 方式 与 nonsegwit 交 易 完 全 相同 。 但 是 ， 由 于 segwit 交 易 在 每 个 输入 中 都 有 空 的 
scriptSigs， 因 此 没有 可 由 第 三 方 修改 的 部 分 交易 。 因 此 ， 在 隔离 交易 中 ， 即 使 交易 未 经 确 
认 ，txid 也 是 第 三 方 不 可 改变 的 。 

WwWtxid 就 像 一 个 “扩展 的 "1D， 因 为 hash 也 包含 了 见证 数据 。 如 果 交 易 没 有 见证 数据 传输 ， 则 


wtxid 和 txid 是 相同 的 。 注 意 ， 由 于 wtxid 包 含 见证 数据 (签名 ) ， 并 且 由 于 见证 数据 可 能 具有 
延展 性 ， 所 以 在 交易 确认 之 前 ，wtxid 应 该 被 认为 是 可 延展 的 。 只 有 当 交 易 的 输入 是 segwit 输 


入 时 ， 第 三 方才 可 以 认定 segwit 交 易 的 txid 不 可 变 。 


提示 隔离 见证 交易 有 两 个 ID : txid 和 wtxid。txid 是 没有 见证 数据 的 交易 的 散 列 ，wtxid 是 包含 
见证 数据 的 散 列 。 所 有 输入 为 隔离 开关 输入 的 交易 不 受 第 三 方 交易 延展 性 影响 。 


4.6 隔 离 见 证 新 的 签名 算法 


隔离 见证 修改 了 四 个 签名 验证 函数 (CHECKSIG > CHECKSIGVERIFY > CHECKMULTISIG 
和 CHECKMULTISIGVERIFY) 的 语义 ， 改 变 了 交易 承诺 散 列 的 计算 方式 。 


比特 币 交 易 中 的 签名 应 用 于 交易 哈 希 ， 交 易 数据 计算 ， 锁 定数 据 的 特定 部 分 ， 表 明 签 名 者 对 
这 些 值 的 承诺 。 例 如 ， 在 简单 的 SIGHASH_ALL 类 型 签名 中 ， 承 诺 哈 希 包括 所 有 的 输入 和 输 
出 。 


不 幸 的 是 ， 计 算 承诺 哈 希 的 方式 引入 了 验证 签名 的 节点 可 能 被 迫 执行 大 量 哈 希 计算 的 可 能 
性 。 具 体 而 言 ， 散 列 运算 相对 于 交易 中 的 签名 操作 的 数量 增加 O (n2) 。 因 此 ， 攻 击 者 可 以 
通过 大 量 的 签名 操作 创建 一 个 交易 ， 导 臻 整个 比特 币 网 络 不 得 不 执行 数 百 或 数 千 个 哈 希 操作 
来 验证 交易 。 


Segwit 代 表 了 通过 改变 承诺 散 列 计算 方式 来 解决 这 个 问题 的 机 会 。 对 于 segwit 版 本 0 见证 程 
序 ， 使 用 BIP-143 中 规定 的 改进 的 承诺 哈 希 算法 进行 签名 验证 。 


新 算法 实现 了 两 个 重要 目标 。 首 先 ， 散 列 操 作 的 数量 比 签名 操作 的 数量 增加 了 一 个 更 加 渐进 
的 O (n) ， 减 少 了 用 过 于 复杂 的 交易 创建 拒绝 服务 攻击 的 机 会 。 其 次 ， 承 诺 散 列 现在 还 包括 
作为 承诺 的 一 部 分 的 每 个 输入 的 值 (金额 )。 这 意味 着 签名 者 可 以 提交 特定 的 输入 值 ， 而 不 
需要 “获取 ”并 检查 输入 引用 的 前 一 个 交易 。 在 离线 设备 (如 硬件 钱包 ) 的 情况 下 ， 这 极 大 地 简 
化 了 主机 与 硬件 钱包 之 间 的 通信 ， 消 除了 对 以 前 的 交易 流 进行 验证 的 需要 。 硬 件 钱 包 可 以 接 
受 不 可 信 主 机 “输入 "的 输入 值 。 由 于 签名 是 无 效 的 ， 如 果 输 入 值 不 正确 ， 硬 件 钱包 在 签名 输入 
之 前 不 需要 验证 该 值 。 


4.7 隔 离 见证 的 经 济 激励 


比特 币 挖 气节 点 和 完整 节点 会 产生 用 于 支持 比特 币 网 络 和 区 块 链 的 资源 的 成 本 。 随 着 比特 币 
交易 量 的 增加 ， 资 源 成 本 (CPU， 网 络 带宽， 磁盘 空间 ， 内 存 ) 也 在 增加 。 矿 工 通 过 与 每 次 
交易 的 大 小 ( 字 节 ) 成 比例 的 费用 来 补偿 这 些 成 本 。 不 挖 矿 的 完整 的 节点 没有 得 到 补偿 ， 所 
以 他 们 承担 这 些 成 本 ， 因 为 他 们 需要 运行 一 个 权威 的 充分 验证 全 索引 节点 ， 可 能 是 因为 他 们 
使 用 节点 操作 比特 币 业 务 。 


如 果 没 有 交易 费用 ， 比 特 币 数据 的 增长 可 能 会 大 幅 增加 。 费 用 旨 在 通过 基于 市 场 的 价格 发 现 
机 制 ， 使 比特 币 用 户 的 需求 与 交易 对 网 络 带 来 的 负担 相 一 致 。 


基于 交易 规模 的 费用 计算 将 交易 中 的 所 有 数据 视 为 相同 的 成 本 。 但 是 从 完整 节点 和 矿工 的 角 
度 来 看 ， 交 易 的 某 些 部 分 的 成 本 要 高 得 多 。 加 入 比特 币 网 络 的 每 笔 交 易 都 会 影响 节点 上 四 种 
资源 的 消耗 : 


e 磁盘 空间 


每 笔 交 易 都 存储 在 区 块 链 中 ， 并 添加 到 区 块 链 的 总 大 小 中 。 区 块 链 存储 在 磁盘 上 ， 但 可 以 通 
过 “修剪 " 较 旧 的 交易 来 优化 存储 。 


。CPU 
每 个 交易 都 必须 经 过 验证 ， 这 需要 CPU 时 间 。 
ed 


每 笔 交易 至 少 通过 网 络 传输 一 次 《通过 泛 洪 传播 ) 。 如 果 在 块 传播 协议 中 没有 任何 优化 ， 交 
多 将 作为 块 的 一 部 分 再 次 传输 ， 从 而 将 对 网 络 容量 的 影响 加 倍 。 


e hA 


ITER LS RIEUTXO #45] RERUTXOR EA AGY > Vik ETE HT AGES HEE 
贵 一 个 数量 级 ， 所 以 UTXO 集 的 增长 对 运行 节点 的 成 本 贡献 不 成 比例 。 


从 列表 中 可 以 看 出 ， 并 不 是 交易 的 每 个 部 分 都 对 运行 节点 的 成 本 或 者 比特 币 支持 更 多 交易 的 
能 力 产 生 同 等 的 影响 。 交 易 中 最 咒 贵 的 部 分 是 新 创建 的 输出 ， 因 为 它们 被 添加 到 内 存 中 的 
UTXO 集 。 相 比 之 下 ， 签 名 (又 名 见证 数据 ) 为 网 络 增加 了 最 小 的 负担 ， 并 且 节 省 了 运行 节点 
的 成 本 ， 因 为 见证 数据 只 被 验证 一 次 ， 之 后 又 不 再 使 用 。 此 外 ， 在 收 到 新 的 交易 并 验证 见证 
数据 之 后 ， 节 点 可 以 立即 丢弃 该 见证 数据 。 如 果 按 照 交 易 规 模 计 算 费 用 ， 而 不 区 分 这 两 种 数 
据 ， 那 么 市 场 上 的 收费 激励 就 不 符合 交易 实际 成 本 。 事 实 上 ， 目 前 的 费用 结构 实际 上 鼓励 了 
相反 的 行为 ， 因 为 见证 数据 是 交易 的 最 大 部 分 。 


费用 所 产生 的 激励 因为 它们 影响 钱包 的 行为 。 所 有 的 钱包 都 必须 实行 一 些 策略 来 组 合 交易 ， 
这 些 策略 要 考虑 到 隐私 (减少 地 址 重复 使 用 ) ， 碎 片 化 (大量 松动 ) 以 及 收费 等 因素 。 如 果 
费用 压倒 性 地 促使 钱包 在 交易 中 使 用 尽 可 能 少 的 投入 ， 这 可 能 导致 UTXO 选 择 和 改变 地 址 策 
略 ， 从 而 不 经 意 地 膨胀 UTXO 集 合 。 


交易 在 其 输入 中 消耗 UTXO， 并 用 它们 的 输出 创建 新 的 UTXO。 因 此 ， 交 易 输入 比 输出 多 将 导 
致 UTXO 集 合 的 减少 ,而 输出 多 于 输入 的 交易 将 导致 UTXO 集 合 的 增加 。 让 我 们 考虑 输入 和 和 输 
出 之 间 的 差异 ， 并 称 之 为 “Net-new-UTXO”。 这 是 一 个 重要 的 指标 ， 因 为 它 告 诉 我 们 一 个 交易 
对 最 昂贵 的 全 网 资源 ， 内 存 UTXO 设 置 。 正 值 Net-new-UTXO 交 易 增加 了 这 一 负担 。 负 值 Net- 
new-UTXO 交 易 减 轻 了 负担 。 因 此 ， 我 们 希望 鼓励 交易 是 负 Net-new-UTXO 或 替 Net-new- 
UTXO 的 中 值 。 


让 我 们 来 看 一 个 例子 ， 说 明 有 无 隔离 见证 交易 费用 计算 产生 了 哪些 激励 措施 。 我 们 将 看 两 个 
不 同 的 交易 。 交 易 人 A 是 3 输入 ，2 输 出 的 交易 ， 其 具有 -1 的 净 新 UTXO 度 量 ， 这 意味 着 它 消耗 比 
它 创建 的 多 一 个 UTXO > 将 UTXO 减 1° 交易 B 是 2 输入 3 输出 的 交易 ， 其 具有 1 的 净 新 UTXO 度 


量 ， 这 意味 着 它 向 UTXO 集 增加 一 个 UTXO， 对 整个 比特 币 网 络 施加 额外 的 成 本 。 这 两 个 交易 
都 使 用 多 重 签 名 (2/3) 脚本 来 演示 复杂 脚本 如 何 增加 隔离 证 人 对 费用 的 影响 。 我 们 假设 交易 
费 为 每 字 节 30 satoshi， 证 据 数 据 为 75% 的 折扣 费用 : 
e 未 使 用 隔离 见证 
交易 费用 : 25,710 satoshi X 4B # M : 18,990 satoshi 
e 使 用 隔离 见证 
交易 手续 费 : 8,130 satoshi 交易 B 手 续费 : 12,045 satoshi 


当 隔 离 见证 实施 时 ， 这 两 个 交易 都 较为 便宜 。 但 是 比较 这 两 笔 交易 的 成 本 ， 我 们 发 现在 隔离 

见证 之 前 ， 交 易 净 收益 为 负 的 净 新 UTXO 的 收费 更 高 。 在 隔离 见证 之 后 ， 交 易 费 用 与 最 小 化 新 
的 UTXO 创 造 的 激励 相 一 致 ， 而 不 会 无 意 中 惩 凡 许多 输入 的 交易 。 

因此 ， 隔 离 见证 对 比特 币 用 户 支付 的 费用 有 两 个 主要 的 影响 。 首 先 ，segwit 通 过 折扣 见证 数据 
和 增加 比特 币 区 块 链 的 能 力 来 降低 交易 的 总 体 成 本 。 其 次 ，segwit 对 证 人 数据 的 折扣 纠正 了 可 
能 无 意 中 在 UTXO 集 合 中 产生 更 多 膨胀 的 激励 的 错位 。 


Bitcore 是 BitPay 提 供 的 一 套 工 具 。 其 目标 是 为 Bitcoin 开 发 人 员 提 供 易 于 使 用 的 工具 。 几乎 所 
4 i Bitcore S PLA EJ JavaScript ® S 的 。 有 一 些 专门 为 NodeJS 编 写 的 模块 。 最 后 ， 
Bitcore 的 “节点 "模块 包括 Bitcoin Core 的 C ++ 代 码 。 有 关 详 细 信 息 ， 请 参阅 https://bitcore.io ° 


Bitcore 的 功能 列表 


Bitcoin full node (bitcore-node) 

Block explorer (insight) 

Block, transaction, and wallet utilities (bitcore-lib) 

Communicating directly with Bitcoin's P2P network (bitcore-p2p) 

Seed entropy mnemonic generation (4 FIA 124F) (bitcore-mnemonic) 
Payment protocol (bitcore-payment-protocol) 

Message verification and signing (bitcore-message) 

Elliptic curve Integrated Encryption Scheme (椭圆 曲线 综合 加 密 方案 ) (bitcore-ecies) 
Wallet service (bitcore-wallet-service) 

Wallet client (bitcore-wallet-client) 

Playground (bitcore-playground) 

Integrating services directly with Bitcoin Core (bitcore-node) 


Bitcore = x 4| 


RR ET 


NodeJS >= 4.x 或 者 使 用 hosted online playground 


如 果 使 用 NodeJS 和 节点 REPL : 


$ npm install -g bitcore-lib bitcore-p2p 
$ NODE PATH-$(npm list -g | head -1)/node modules node 


使 用 bitcore-lib 的 钱包 示例 
使 用 关联 的 私 钥 创建 新 的 比特 币 地 址 : 


> bitcore = require('bitcore-lib') 
> privateKey = new bitcore.PrivateKey() 
» address - privateKey.toAddress().toString() 


创建 分 层 确定 性 私 钥 和 地 址 : 


> hdPrivateKey = bitcore.HDPrivateKey() 
> hdPublicKey = bitcore.HDPublicKey(hdPrivateKey) 
> hdAddress = new bitcore.Address(hdPublicKey.publicKey).toString() 


从 UTXO 创 建 和 签署 交易 : 


> utxo = { 
txId: transaction id containing an unspent output, 
outputIndex: output indexi e.g. 0, 
address: addressOfUtxo, 
script: bitcore.Script.buildPublicKeyHashOut(addressOfUtxo).toString(), 
satoshis: amount sent to the address 


> fee = 3000 //set appropriately for conditions on the network 
> tx = new bitcore.Transaction() 

.from(utxo) 

.to(address, 35000) 

.fee(fee) 

.enableRBF() 

.sign(privateKeyOfUtxo) 


替换 mempool 中 的 最 后 一 个 交易 〈 替 换 费 ) 


> rbfTx = new Transaction() 
.from(utxo) 
.to(address, 35000) 
.fee(fee*2) 
.enableRBF() 
.sign(privateKeyOfUtxo); 
» tx.serialize(); 
» rbfTx.serialize(); 


将 交易 广播 到 比特 币 网 络 (注意 : 仅 广 播 有 效 交 易 ;请 参阅 https://bitnodes.21.co/nodes) 
将 以 下 代码 复制 到 名 为 broadcast.js 的 文件 中 。 

tx 和 rbfTx 变 量 分 别 是 tx.serialize () 和 [rbfTx.serialize () 的 输出 。 

为 了 更 换 费 用 ， 对 等 人 必须 支持 bitcoind 选 项 mempoolreplace 并 将 其 设置 为 1。 

运行 文件 节点 broadcast.js : 


var p2p = require('bitcore-p2p'); 
var bitcore - require('bitcore-lib'); 
var tx - new bitcore.Transaction('output from serialize function'); 
var rbfTx = new bitcore.Transaction('output from serialize function'); 
var host - 'ip address'; //use valid peer listening on tcp 8333 
var peer = new p2p.Peer({host: host}); 
var messages - new p2p.Messages(); 
peer.on('ready', function() { 
var txs - [messages.Transaction(tx), messages.Transaction(rbfTx)]; 
var index - 0; 
var interval = setInterval(function() { 
peer .sendMessage(txs[index++]); 
console.log('tx: ' + index + ' sent'); 
if (index === txs.length) { 
clearInterval(interval); 
console.log('disconnecting from peer: ' + host); 
peer.disconnect(); 
} 
}, 2000); 
}); 


peer.connect(); 


Ht 3&6 ^ pycoin 
3 $7 H Richard Kiss 编 写 和 维护 的 Python 库 pycoin 是 一 个 基于 Python 的 库 ， 支 持 对 比特 币 密 铀 
和 交易 进行 操作 ， 甚 至 支持 足够 的 脚本 语言 来 适当 地 处 理 非 标准 交易 。 


pycoin 库 支持 Python 2 (2.7.x) 和 Python 3 (3.3 之 后 ) ， 并 附带 一 些 方便 的 命令 行 实用 程序 
ku 和 tx ° 


1. 实 用 工具 (KU) 


命令 行 实 用 程序 ku (“BAL AAR’) 是 用 于 操纵 密 钥 的 瑞士 军刀 。 它 支持 BIP-32 键 ，WIF 和 
地 址 (比特 币 和 代 币 ) 。 以 下 是 一 些 例 子 。 


使 用 GPG 和 / dev / random RUIA RAE — ^-BIP-32 98 41 : 


$ ku create 


input 
network 
wallet key 


public version 


tree depth 
fingerprint 
parent f'print 
child index 
chain code 
private key 
secret exponent 
7806844862 

hex 
wif 
uncompressed 
public pair x 
114016034 
public pair y 
825777701 

X as hex 

y as hex 
y parity 

key pair as sec 
uncompressed 


hash160 
uncompressed 
Bitcoin address 
uncompressed 


create 

Bitcoin 

xprv9s21ZrQH143K3LUSCtPZTBnb9kT jA5Su9DcWHvXJemi JBsY7VqXUG7hipgdWaU 
m2nhnzdvxJf5KJo9vjP2nABX65c5sFsWsV80oXcbpeht Ji 

xpub661MyMwAqRbcFpYYiuvZpKjKhnJDZYAkWSY76JvvD7FHAf sG3Nqiov2CfxzxY8 
DGcpfT56AMFeo8M8KPKkFMf LUt vwjwb6WPv8r Y65L2q8Hz 

0 

9d9c6092 

00000000 

0 

80574fb260edaa4905bc86c9a47d30c697c50047ed466c0d4a5167f6821e8f3c 


: yes 
1124715385901556506886047528403861346372319 7454690684 720238929409656 


f8a8a28b28a916e1043cc0aca52033a18a13cab1638d544006469bc171f ddfbe 
L5Z54xi6qJusQT42JHA44mf PVZGj ybAXBRWf XAZUWWRiGXA1kVAsP 
5KhoEavGNNH4GHKoy2Ptu4kfdNp4r56L5B5un8FP6RZnbsz5Nmb 


7646063824054647836484339747827846810187 7117 767873462127021560368290 


59807879657469774102040120298272207730921291736633247737077406753676 


a90b3008792432060fa04365941e09a8e4adf928bdbdb9dad41131274e379322 
843a0f6ed9c0eb1962c74533795406914fe3f1957c5238951f4fe245a4fcd625 
odd 
03a90b3008792432060fa04365941e09a8e4adf 928bdbdb9dad41131274e379322 
04a90b3008792432060fa04365941e09a8e4adf 928bdbdb9dad41131274e379322 
843a0f6ed9c0eb1962c74533795406914fe3f1957c5238951f4fe245a4fcd625 
9d9c609247174ae323acfc96c852753fe3c8819d 
8870d869800c9b91ceieb460f4c60540f87c15d7 
1FNNRQ5fSviwBi5gyfVBs2rkNheMGt86sp 
1DSS5isnH4FsVaLVjeVXewVSpf qktdiQAM 


从 密码 短语 创建 一 个 BIP-32 密 乌 : 


警告 这 个 例子 中 的 密码 很 容易 猜 到 。 


$ ku P:foo 


input 
network 
wallet key 


public version 


tree depth 
fingerprint 
parent f'print 
child index 
chain code 
private key 
secret exponent 
793998275 

hex 
wif 
uncompressed 
public pair x 
393168191 
public pair y 
459038290 

x as hex 

y as hex 

y parity 

key pair as sec 
uncompressed 


hash160 
uncompressed 
Bitcoin address 
uncompressed 


获取 JSON 信 息 : 


P:foo 

Bitcoin 

xprv9s21ZrQH143K31AgNK5pyVvW23gHnkBq2wh5aEk6g1s496M8ZMj xncCKZKgb5j 
ZoY5eSJMJ2Vbyvi2hbmQnCuHBujZ2WXGTuxAX2k9Krdtq 

xpub661MyMwAqRbcFVF9ULcqLdsEa5wWnCCugQAcgNd9iEMQ31tgH6u4DLQWoQayvtS 
VYFvXz2vPPpbxXE1qpjoUFidhjFj82pVShwu9curwmb2zy 

0 

5d353a2e 

00000000 

0 

5eeb1023fd6dd1ae52a005ce0e73420821e1d90e08be980a85e9111fd7646bbc 


: yes 


65825730547097305716057160437970790220123864299761908948746835886007 


91880b0e3017ba586b735fe7d04f1790f3c46b818a2151fb2def5fi14dd2fd9c3 
L26c3H6jEPVSgAri1usXUp9qtQJw6NHgApqeLs4ncyqtsvcq2MwKH 

5JvNzA5vXDoKY Jdw8SwwLHxUxaWvn9mDea6k1vRPCX7KLUVWa 7W 
81821982719381104061777349269130419024493616650993589394553404347774 


58994218069605424278320703250689780154785099509277691723126325051200 


b4e599dfa44555a4ed38bcfff0071d5af676a86abf123c5bb4b4e8e67a0b0b13f 
826d8b4d3010aeai16ff4cicid3ae68541d9a04df54a2c48cc241c2983544de52 
even 
02b4e599dfa44555a4ed38bcfffO0071d5af676a86abf123c5bb4b4e8e67a0b0b13f 
04b4e599dfa44555a4ed38bcfffO0071d5af676a86abf123cb5bb4b4e8e67a0b0b13f 
826d8b4d3010aea16ff4ci1cid3ae68541d9a04df54a2c48cc241c2983544de52 
5d353a2ecdb262477172852d57a3f11de0c19286 
ebbd3a7e6cb62b4c820e51200fb1c148d79e67da 
19Vqc8uLTfUonmxUEZac7fz1M5c5ZZbAii 
1MwkRkogzBRMehBntgcq2aJhXCXSt JTXHT 


$ ku P:foo -P -j 
t 

"y parity": "even", 

"public pair y hex": "826d8b4d3010aeai6ff4cici1d3ae68541d9a04df54a2c48cc241c2983544d 
e52", 

"private key": "no", 

"parent fingerprint": "00000000", 

"tree depth": "o", 

"network": "Bitcoin", 

"btc address uncompressed": "1MwkRkogzBRMehBntgcq2aJhXCXSt JTXHT" , 

"key pair as sec uncompressed": "04b4e599dfa44555a4ed38bcf ff0071d5af676a86abfi23c5b 
4b4e8e67a0b0b13f826d8b4d3010aeadi6ff4cicid3ae68541d9a04df54a2c48cc241c2983544de52", 

"public pair x hex": "b4e599dfa44555a4ed38bcfff0071d5af676a86abf123c5b4b4e8e67a0b0b 
aS fae 

"wallet key": "xpub661MyMwAqRbcFVF9ULcqLdsEa5WnCCugQAcgNd9iEMQ31tgH6u4DLQWoQayvtSVY 
FvXz2vPPpbXE1qpjoUFidhjFj82pVShwu9curWmb2zy" , 

"chain code": "5eeb1023fd6dd1ae52a005ce0e73420821e1d90e08be980a85e9111fd7646bbc", 

"child index": "0", 

"hash160 uncompressed": "e5bd3a7e6cb62b4c820e51200fb1c148d79e67da", 

"btc address": "19Vqc8uLTfUonmxUEZac7fz1M5c5ZZbAii", 

"fingerprint": "5d353a2e", 

"hash160": "5d353a2ecdb262477172852d57a3f11de0c19286", 

"input": "P:foo", 

"public pair x": "81821982719381104061777349269130419024493616650993589394553404347 
774393168191", 

"public pair y": "58994218069605424278320703250689780154785099509277691723126325051 
200459038290", 

"key pair as sec": "02b4e599dfa44555a4ed38bcfff0071d5af676a86abf123c5b4b4e8e67a0b0b 
13f" 


} 


公共 BIP32 密 铀 : 


$ ku -w -P P:foo 
xpub661MyMwAqRbcFVF9ULcqLdsEa5WnCCugQAcgNd9iEMQ31tgH6u4DLQWoQayvtSVYFvXz2vPPpbXE1qp j oU 
FidhjFj82pVShwu9curWmb2zy 


生成 子 项 : 


$ ku -w -s3/2 P:foo 
xprv9wTErTSkjVyJad1vAcUTFMFkWMe5eu8ErbQcs9xajnsUzCBT7ykHAwdrxvG3g3f 6BFk7ms5hHBvmbdutNmy 
g6iogWKxx6mefEwAM8EroLgKj 


硬化 子 键 : 


$ ku -w -s3/2H P:foo 
xprv9wTErTSu5AWGkDeUPmqBcbZWX1xq85ZNX9iQRQW9DXwygFp7iRGJo79dsVctcsCHsnZ3XU3DhsuaGZbDh8 
iDkBN45k67UKs JUXM1JfRCdni 


WIF: 


$ ku -W P:foo 
L26c3H6jEPVSgAr1usXUp9qtQJw6NHgApq6eLs4ncyqtsvcq2MwKH 


地 址 : 


$ ku -a P:foo 
19Vqc8uLTfUonmxUEZac7fz1M5c5ZZbAii 


生成 一 堆 子 项 : 


$ ku P:foo -s 0/0-5 -w 

xprv9xWkBDf yBXmzZ j BG9EiXBpy67KK72fphUp9ut JokEBFt j sj LUKUUDF5V3TU8U8cDzytqYnSekc8bYuJS8G3 
bhXxKWB89Ggn2dzLcoJsuEdRK 

xprv9xwWkBDfyBXmznzKf 3bAGifK593gT7WJZPnYAmvc77gUQVe j5QHckc5Adtwxa28ACmANi9XhCrRvtFqQcUx 
t8rUgFz3souMiDdWxJDZnQxzx 

xprv9xWkBDf yBXmzqdXA8y4SWqfBdy71gSW9sjx9JpCiJEiBwSMQyRxan6srXUPBt j 3PTXQFkZJAiwoUpmvtrx 
KZu4zfsnr3pqyy2vthpkwuoVq 

xprv9xWkBDfyBXmZsA85GyWj 9uYPyoQv826YAadKWMaaEosNrFBKgj2TqWuiWY3zugxYGpHfv9cnGj5P7e8Esk 
pzKL1Y8Gk9aX6QbryA5raK73p 
xprv9xwWkBDfyBXmZv2q3N66hhZ8DAcEnQDnXML1J62kr JAcf 7Xb1HJwuw2VMJQrCof Y2j tFXdiEYSUSRNJf qK6 
DAdyZXoMvtaLHyWQx3FS4A9zw 

xprv9xwkBDf yBxXmZw4 j EYXUHYc9FT25k9irP87n2Rqf I5bqbjKdT84Mm7Wtc2xmzFukg7iYf7XFHKKSsaYKWKJ 
bR54bnyAD9Gz jUYbAYTtNA4ruo 


生成 相应 的 地 址 : 


$ ku P:foo -s 0/0-5 -a 
1MrjE78H1RirqdFrmk;jdHnPUdLCJALbv3x 
1AnYyVEcuqeoVzH96z j 1eYKwoWfwte2pxu 
1GXrikZfxE1FCK6ZRD5sqqqs5YfvuzA1Lb 
116AXZc4bDVQrqmcinzu4aaPdrYqvuiBEK 
1Cz2rTLjRM6pMnxPNrRKp9ZSvRt j 5dDUML 
1WstdwPnUGHEUPmei1DQayN9nm6 j 7nDVEM 


生成 相应 的 WIF : 


$ ku P:foo -s 0/0-5 -W 

L5a4iE5k9gcJKGqX3FWmxzBYQc29PvZ6pgBaePLVqT5YByEnBomx 
Kyjgne6GZwPGB6G6k JEhoPbmy jMP7D5d3zRbHV jwcq4iQXD9QqKQ 
LAB3ygQxK6zH2NQGXxLDee2H9v4Lvwg14cL JW7QwWPzCtKHdWMaQz 
L2L2PZdorybUqkPj rmhem4Ax5E JvP7ijmxbNoQKnmTDMrqemY8UF 
L20D6vAA4TUyqPF8QGAvhUFSgwCyuuvFZ3v8SKHYFDwkbM765Nr fd 
KzChTbc3kZFXxUSJ3Kt54cxsogeFAD9CCMAzGB22si8nfKcThQn8C 


4 


通过 选择 一 个 BIP32 字 符 串 (与 子 项 0/3 对 应 的 字符 串 ) 来 检查 它 是 否 工作 : 


$ ku -W xprv9xwkBDfyBXmMZsA85GyWj9uYPyoQv826YAadKWMaaEosNrFBKgj2TqwuiWwY3zuqxYGpHfv9cnGj 
5P7e8EskpzKL1Y8Gk9aX6QbryA5raK73p 

L2L2PZdorybUqkPj rmhem4Ax5E JvP7ijmxbNoQKnmTDMrqemY8UF 

$ ku -a xprv9xWwkBDfyBXmZsA85GyWj 9uYPyoQv826YAadKWMaaEosNrFBKg;j 2TqWwuiWY3zugqxYGpHfv9cnGj 
5P7e8bEskpzKL1Y8Gk9aX6QbryA5raK73p 

116AXZc4bDVQrqmcinzu4aaPdrYqvuiBEK 


是 的 ， 看 起 来 很 熟悉 


从 秘密 指数 : 
$ ku 1 
input net: 
network : Bitcoin 


secret exponent : 1 


hex mn 
wif : KwDiBf89QgGbjEhKnhXJuH7LrciVrzi3qYjgd9M7rFU73sVHnoWn 

uncompressed : 5HpHagT65TZZG1PH3CSu63k8DbpvD8s5ip4nEB3kEsreAnchuDf 

public pair x : 55066263022277343669578718895168534326250603453777594175500187360389 
116729240 

public pair y : 32670510020758816978083085130507043184471273380659243275938904335757 
337482424 

X as hex : 79be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16f81798 

y as hex : 483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb10d4b8 

y parity : even 

key pair as sec : 0279be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16f81798 
uncompressed : 0479be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16f81798 

483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb10d4b8 

hash160 : 751e76e8199196d454941c45d1b3a323f1433bd6 

uncompressed : 91b24bf9f5288532960ac687abb035127b1d28a5 

Bitcoin address : 1BgGZ9tcN4rm9KBzDn7KprQz87SZ26SAMH 

uncompressed : 1EHNa6Q4Jz2UVNEXxL497mEA43ikXhwF6kzm 


莱特 币 版 本 : 


$ ku -nL 1 


input gl 
network : Litecoin 
secret exponent : 1 
hex gt 
wif : T83ydQRKp4FCWBLCLLUB7deioUMoveiwekdwUwyfRDeGZm76aUjV 
uncompressed : 6u8230zcyt2rjPH8Z2bErsSXJB5PPQwK7VVTwwNA4mxLBF rao69XQ 
public pair x : 5506626302227734366957871889516853432625060345377759417550018736038 
9116729240 
public pair y : 3267051002075881697808308513050704318447127338065924327593890433575 
7337482424 
x as hex : 79be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16f81798 
y as hex : 483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb10d4b8 
y parity : even 
key pair as sec : 0279be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16f81798 
uncompressed : 0479be667ef9dcbbacb55a06295ce870b07029bfcdb2dce28d959f2815b16f81798 
483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08f f b10d4b8 
hash160 : 751e76e8199196d454941c45d1b3a323f1433bd6 
uncompressed : 91b24bf9f5288532960ac687abb035127b1d28a5 
Litecoin address : LVuDpNCSSj6pQ7t9Pv6d6sUkLKoqDEVUn J 
uncompressed : LYWKqJhtPeGyBAw7WC8R3F7ovxtzAiubdM 
7515) A WIF: 


$ ku -nD -W 1 
QNcdLVw8fHkixm6NNyN6nVwxKek4u7qrioRbQmj xac5TVoTtZuot 


从 公共 对 (在 Testnet) 


$ ku -nT 55066263022277343669578718895168534326250603453777594175500187360389116729240 


„even 


input 


873603 


network 
public pair x 


87360389116729240 


public pair y 


04335757337482424 


x as hex 

1798 

y as hex 

d4b8 
y parity 

key pair as sec 
f81798 
uncompressed 
f81798 


10d4b8 
hash160 
uncompressed 


Bitcoin testnet address 


uncompressed 


从 hash160: 


550662630222773436695787188951685343262506034537775941755001 
89116729240, even 

Bitcoin testnet 

550662630222773436695787188951685343262506034537775941755001 

326705100207588169780830851305070431844712733806592432759389 

79be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16f8 


483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb10 


even 
0279be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16 


0479be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16 
483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb 

751e76e8199196d454941c45d1b3a323f1433bd6 

91b24bf9f5288532960ac687abb035127b1d28a5 


mrCDrCybB6J1vRfbwM5hemdJz73FwDBC8r 
mtoKs9V381UAhUia3d7Vb9GNak8Qvmcsme 


$ ku 751e76e8199196d454941c45d1b3a323f1433bd6 


input 

network 

hash160 

Bitcoin address 


作为 狗 狗 币 地 址 : 


751e76e8199196d454941c45d1b3a323f1433bd6 


751e76e8199196d454941c45d1b3a323f1433bd6 
1BgGZ9tcN4rm9KBzDn7KprQz87SZ26SAMH 


$ ku -nD 751e76e8199196d454941c45d1b3a323f1433bd6 


input 

network 

hash160 

Dogecoin address 


751e76e8199196d454941c45d1b3a323f1433bd6 
Dogecoin 
751e76e8199196d454941c45d1b3a323f1433bd6 
DFpN6QqFfUm3gKNaxN6tNcabiFArL9cZLE 


` 


2. 交 易 实 用 程序 (TX) 


命令 行 实用 程序 tx 将 以 人 类 可 读 的 形式 显示 交易 ， 从 pycoin 的 交易 缓存 或 Web 服 务 获取 基础 交 
Z (333 blockchain.infofebiteasy.com) ， 合 并 交易 ， 添 加 或 删除 输入 或 输出 ， 以 及 签署 


Ly 


着 名 的 * 皮 萨 "交易 : 


$ tx 49d2adb6e476fa46d8357babf78b1b501fd39e177ac7833124b3f67b17c40c2a 
warning: consider setting environment variable PYCOIN CACHE DIR--/.pycoin cache to cac 
he transactions fetched via web services 
warning: no service providers found for get tx; consider setting environment variable 
PYCOIN SERVICE PROVIDERS-BLOCKR IO:BLOCKCHAIN INFO:BITEASY:BLOCKEXPLORER 
usage: tx [-h] [-t TRANSACTION VERSION] [-1 LOCK TIME] [-n NETWORK] [-a] 

[-i address] [-f path-to-private-keys] [-g GPG ARGUMENT] 

[--remove-tx-in tx in index to delete] 

[--remove-tx-out tx out index to delete] [-F transaction-fee] [-u] 

[-b BITCOIND URL] [-o path-to-output-file] 

argument [argument ...] 
tx: error: can't find Tx with id 49d2adb6e476fa46d8357babf78b1b501fd39e177ac7833124b3f 
67b17c40c2a 





哎呀 ! 我 们 没有 设置 Web 服 务 。 现在 我 们 来 做 : 


$ PYCOIN CACHE DIR--/.pycoin cache 
$ PYCOIN SERVICE PROVIDERS-BLOCKR IO:BLOCKCHAIN INFO:BITEASY:BLOCKEXPLORER 
$ export PYCOIN CACHE DIR PYCOIN SERVICE PROVIDERS 


这 不 是 自动 完成 的 ， 所 以 命令 行 工具 不 会 泄漏 潜在 的 关于 您 对 第 三 方 网 站 感 兴趣 的 交易 的 私 
人 信息 。 如果 您 不 在 乎 ， 可 以 将 这 些 行 放 入 .profile 。 


让 我 们 再 试 一 次 : 


$ tx 49d2adb6e476fa46d8357babf78b1b501fd39e177ac7833124b3f67b17c40c2a 
Version: 1 tx hash 49d2adb6e476fa46d8357babf78b1b501fd39e177ac7833124b3f67b17c40c2a 
159 bytes 
TxIn count: 1; TxOut count: 1 
Lock time: 0 (valid anytime) 
Input: 
0: (unknown) from 1e133f7de73ac7d074e2746a3d6717dfc99ecaa8e 
9f9fade2cb8b0b20a5e0441:0 
Output: 
0: ACZDM60TttND6wPdt3D6bydo7DYKzd9Qik receives 10000000.00000 mBTC 
Total output 10000000.00000 mBTC 
including unspents in hex dump since transaction not fully signed 
010000000141045e0ab2b0b82cdefaf9e9a8ca9ec9df176734d6a74e274d0c73ae77d3f131e000000004a49 
3046022100a7f26eda874931999c90f87fO01ffiffc76bcd058fe16137e0e63fdb6a35c24d78022100a61e91 
99238eb73f07c8f209504c84b80f03e30ed8169edd44f80edi17ddfa4b51901ffffffffO10010a5d4e8000000 
1976a9147ec1003336542cae8bded8909cdd6b5e48ba0ab688ac00000000 


** can't validate transaction as source transactions missing 


出 现 最 后 一 行 是 为 了 验证 交易 的 签名 ， 您 技术 上 需要 源 代 码 交 易 。 所 以 我 们 来 添加 -a 来 增加 
源 信息 的 交易 : 


N| 


$ tx -a 49d2adb6e476fa46d8357babf78b1b501fd39e177ac7833124b3f67b17c40c2a 
warning: transaction fees recommendations casually calculated and estimates may be inc 
orrect 
warning: transaction fee lower than (casually calculated) expected value of 0.1 mBTC, 
transaction might not propogate 
Version: 1 tx hash 49d2adb6e476fa46d8357babf78b1b501fd39e177ac7833124b3f67b17c40c2a 
159 bytes 
TxIn count: 1; TxOut count: 1 
Lock time: 0 (valid anytime) 
Input: 
0: 17WFX2GQZUmh6Up2NDNCEDk3deYomdNCfk from 1ei133f7de73ac7d074e2746a3d6717dfc99ecaa8e 
9f9fade2cb8b0b20a5e0441:0 10000000.00000 mBTC sig ok 
Output: 
0: 1CZDM6OoTttNDe6WPdt3D6bydo7DYKzd9Qik receives 10000000.00000 mBTC 
Total input 10000000.00000 mBTC 
Total output 10000000.00000 mBTC 
Total fees 0.00000 mBTC 


010000000141045e0ab2b0b82cdefaf9e9a8ca9ec9df176734d6a74e274d0c73ae77d3f131e000000004a49 
3046022100a7f26eda874931999c90f87fO1ffiffc76bcd058fe16137e0e63fdb6a35c2d78022100a61e91 
99238eb73f07c8f209504c84b80f 03e30ed8169edd44f80ed17ddf451901ffffffff010010a5d4e8000000 
1976a9147ec1003336542cae8bded8909cdd6b5e48ba0ab688ac00000000 


all incoming transaction values validated 


现在 ， 我 们 来 看 一 下 特定 地 址 (UTXO) 的 未 使 用 输出 。 在 块 基 1 中 ， 我 们 看 到 一 个 钱币 交易 
到 12c6DSiU4Rq3P4ZxziKxzrL5LmMBrzjrJX。 让 我 们 用 fetch_unspent 来 查找 这 个 地 址 中 的 
所 有 钱币 


$ fetch unspent 12c6DSiUARq3PAZxziKxzrL5LmMBrz jr JX 
a3aef902a51a2cbebede144e48a888c05e608c2cce28024041a5b9874013a1e2a/0/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/333000 
cea36d008badf5c7866894b191d3239de95824d89b6b452b596f1f1b76347f8cb/31/76a914119b098e2e98 
0a229e139a9ed01a469e518e6f2688ac/10000 
065ef6b1463f552f675622abd1fd2c08d6324b4402049f68e767a719e2049e84d/86/76a914119b098e2e98 
0a229e139a9ed01a469e518e6f2688ac/10000 
aeedddd42f9f2491d3c336ce5527d45cc5c2163aaed3158f81dc054447f447a2/0/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/10000 
ffd901679de65d4398de90cefe68d2c3ef073c41f7e8dbec2fb5cd75fe71dfe7/0/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/100 
d658ab87ccO053b8dbcfd4aa2717fd23cc3edfe90ec75351fadd6a0f7993b46140/5/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/911 
36ebe0ca3237002acb12e1474a3859bde0ac84b419ec4ae3736e63363ebef 731c/1/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/100000 
fd87f9adebb17f4ebb1673da76ff48ad29e64b7afa02fda0f2c14e43d220fe24/0/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/1 
dfdf0b375a987f17056e5e919ee6eadd87dad36c09c4016d4a03cea15e5c05e3/1/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/1337 
cb2679bfd0a557b2dc0d8a6116822f3fcbe281ca3f3e18d3855aa7ea378fa373/0/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/1337 
d6be34ccf6edddc3cf69842dce99fe503bf632ba2c2adb0f95c63f6706ae0c52/1/76a914119b098e2e980 
a229e139a9ed01a469e518e6f2688ac/2000000 

0e3e2357e806b6cdbif 70b54c3a3a17b6714ee1fO0e68bebb44a74b1efd512098/0/410496b5386e8535 
19c726a2c91e61ec11600ae1390813a627c66fb8be7947be63c52da7589379515d4e0a604f81417816e6229 
4721166bf621e73a82cbf2342c858eeac/5000000000 


附录 7、 比 特 币 浏览 器 命令 


Bitcoin Explorer (bx) 是 一 个 命令 行 工具 ， 提 供 了 各 种 用 于 密 铀 管理 和 交 
是 libbitcoin 比 特 币 库 的 一 部 分 。 


Usage: bx COMMAND [--help] 
Info: The bx commands are: 


address-decode 
address-embed 
address-encode 
address-validate 
base16-decode 
base16-encode 
base58-decode 
base58-encode 
base58check-decode 
base58check-encode 
base64-decode 
base64-encode 
bitcoini60 
bitcoin256 
btc-to-satoshi 
ec-add 
ec-add-secrets 
ec-multiply 
ec-multiply-secrets 
ec-new 
ec-to-address 
ec-to-public 
ec-to-wif 
fetch-balance 
fetch-header 
fetch-height 
fetch-history 
fetch-stealth 
fetch-tx 
fetch-tx-index 
hd-new 
hd-private 
hd-public 
hd-to-address 
hd-to-ec 
hd-to-public 
hd-to-wif 

help 


input-set 
input-sign 
input-validate 
message-sign 
message-validate 
mnemonic -decode 
mnemonic -encode 
ripemdi60 
satoshi-to-btc 
script-decode 
script-encode 
script-to-address 
seed 

send-tx 
send-tx-node 
send-tx-p2p 
settings 

sha160 

sha256 

sha512 
stealth-decode 
stealth-encode 
stealth-public 
stealth-secret 
stealth-shared 
tx-decode 
tx-encode 
uri-decode 
uri-encode 
validate-tx 
watch-address 
wif-to-ec 

wif -to-public 
wrap-decode 
wrap-encode 


更 多 信息 参见 Bitcoin Explorer homepage 和 Bitcoin Explorer user documentation 

bx 命令 使 用 示例 

我 们 来 看 一 些 使 用 Bitcoin Explorer 命 令 来 测试 密 钥 和 地 址 的 例子 

使 用 种 子 命令 生成 随机 “种子 " 值 ， 该 种 子 命令 使 用 操作 系统 的 随机 数 生 成 器 。 将 种 子 传 递 到 
ec-new 命 令 以 生成 新 的 私 钥 。 我 们 将 标准 输出 保存 到 文件 private_key 中 : 


$ bx seed | bx ec-new > private key 
$ cat private key 
73096ed11ab9f1db6135857958ece7d73ea7c30862145bcc4bbc7649075de474 


SLE > 1% Flec-to-public 4-4 44 4A RAHA © 我 们 将 private_key 文 件 传递 到 标准 输入 并 将 命 
令 的 标准 输出 保存 到 新 文件 public_key 中 : 


$ bx ec-to-public < private key > public key 
$ cat public key 
02fca46a6006a62dfdd2dbb2149359d0d97a04f430f 12a7626dd409256c12be500 


我 们 可 以 使 用 ec-to-address 命 令 将 public_key 重 新 格式 化 为 一 个 地 址 。 我 们 将 public_key 传 递 
给 标准 输入 : 


$ bx ec-to-address < public key 
17re1S4Q8ZHyCP8Kw7xQad1Lr6XUzWUnkG 


以 这 种 方式 产生 的 密 钥 产生 零 型 非 确 定性 钱包 。 这 意味 着 每 个 密 钥 都 是 由 一 个 独立 的 种 子 生 
成 的 。 Bitcoin Explorer 命 令 也 可 以 根据 BIP-32 确 定性 地 生成 密 钥 。 在 这 种 情况 下 ， 从 种 子 创 
建 “ 主 " 键 ， 然 后 确定 性 地 扩展 以 产生 一 个 子 项 的 树 ， 从 而 产生 一 个 2 类 确定 性 钱包 。 


首先 ， 我 们 使 用 seed 和 hd-new 命 令 生成 一 个 主 密 钥 ， 该 密 钥 将 被 用 作 导 出 密 钥 层次 结构 的 基 
础 : 


$ bx seed > seed 
$ cat seed 
eb68ee9f3df6bd4441a9feadec179ff1 


$ bx hd-new < seed > master 

$ cat master 
xprv9s21ZrQH143K2BEhMYpNQoUvAgiEjArAVaZaCTgsaGe6LsAnwubeiTcDzd23mAoyizm9cApe51gNfLMkBq 
kYOWWMCRwz f uJK8RwFi1SVEpAQ 


我 们 现在 使 用 hd-private 命 令 在 帐户 中 生成 一 个 强化 的 “帐户 " 键 和 两 个 私 钥 序 列 : 


$ bx hd-private --hard < master > account 

$ cat account 
xprv9vkDLt81dTKjwHB8fsVB5QK8cGnzveChzSrtCfvu3aMWvQaThpb59ueufuyQ8Qi3qpjk4aKsbmbfxwcgS8P 
YbgoR2NWHeLyvg4DhoEE68A1n 


$ bx hd-private --index 0 « account 
xprv9xHfb6w1vX9xgZyPNXVgAhPXxSsEKkeRcCPHEUV5i JCVESuUEACVvR3NRY3fpGhcnBiDbvG4LgndirDsiaie9F 
3DWPkKX7Tp1V1u97HKG1F JwUpU 


$ bx hd-private --index 1 < account 
xprv9xHf b6wivx9xjc8XbN4GN86j ZNAZ6xHEqYxzbLB4fZHFd6VqCLPGRZFsdj suMVERadbgDbziCRJru9n6tz 
EWrASVpEdrZrFidtikRDfn4yA3 


接 下 来 ， 我 们 使 用 hd-public 命 令 来 生成 两 个 公 钥 的 相应 序列 : 


$ bx hd-public --index © < account 
xpubeBHizcTuktiFu43rUZ2gXqLgzu5F3tLEeTQ5t6iE3aQtM2VMTxMCyLN9f YHichGpQe9QQYmqL2eYPF J3ve 
ZHz5wzaSw4FiGrseNDR4LKqTy 


$ bx hd-public --index 1 < account 
xpub6eBHizcTuktiFx6CzhPbGjG3UYQ13WRi16CmtbPiagEKpEVtpy;jshWyMaMVicn7nUPUkgQHPVXJVqsrA8xWb 
GQDhohECDFTEYMvYzwRD7 Juf8 


钥 也 可 以 使 用 hd-to-public 命 令 从 其 相应 的 私 钥 派生 : 


$ bx hd-private --index 0 < account | bx hd-to-public 
xpubeBHizcTuktiFu43rUZ2gXqLgzu5F3tLEeTQ5t6iE3aQtM2VMTxMCyLN9f YHichGpQe9QQYmqL2eYPF J3ve 
zHz5bwzaSWAFiGrseNDRALKqTy 


$ bx hd-private --index 1 « account | bx hd-to-public 
xpub6eBHi1zcTuktiFx6CzhPbGjG3UYQ13WRi16CmtbPiagEKpEVtpy;jshWyMaMVicn7nUPUkgQHPVXJVqsrA8xWb 
GQDhohECDFTEYMVYZzwRD7 Juf8 


我 们 可 以 在 确定 性 链 中 产生 几乎 无 限 数量 的 密 钥 ， 全 部 来 源 于 单个 种 子 。 这 种 技术 用 于 许多 
钱包 应 用 程序 中 RE id ae 备份 和 恢复 的 密 钥 。 每 次 创建 一 个 新 的 密 铀 
时 ， 这 上 比 将 其 所 有 随机 生成 的 密 铀 备份 在 一 起 更 容易 。 


可 以 使 用 助 记 符 编码 命令 对 种 子 进 


$ bx hd-mnemonic < seed > words 
adore repeat vision worst especially veil inch woman cast recall dwell appreciate 


然后 可 以 使 用 mnemonic-decode 命 令 对 种 子 进行 解码 : 


$ bx mnemonic-decode < words 
eb68ee9f3df6bd4441a9feadeci179ff1 


助 记 符 编码 可 以 使 种 子 更 容易 记录 甚至 记 住 。 


MRS. REP 


术语 染色 币 是 指 一 组 使 用 比特 币 交 易 记 录 比 特 币 以 外 的 外 部 资产 的 创建 ， 所 有 权 和 转让 的 类 
似 技 术 。“ 外 在 "是 指 不 直接 存储 在 比特 币 区 块 链 中 的 资产 ， 而 不 是 比特 币 本 身 ， 这 是 区 块 链 固 
有 的 资产 。 


染色 币 用 于 追踪 数字 资产 以 及 第 三 方 持 有 的 有 形 资 产 ， 并 通过 染色 币 进行 所 有 权 交 易 。 数 字 
资产 染色 币 可 以 代表 无 形 资产 ， 如 股票 证 书 ， 许 可 证 ， 虚 拟 财 产 (游戏 物品 ) ， 或 任何 形式 
的 许可 知识 产权 (商标 ， 版 权 等 )。 有 形 资 产 的 染色 币 可 以 代表 商品 (Roc Rc) ， 土 地 
所 有 权 ， 汽 车 ， 船 只 ， 飞 机 等 的 所 有 权证 书 。 


这 个 术语 来 源 于 “着 色 ? 或 标记 比特 币 的 名 义 数 量 的 想法 ， 例 如 单个 satoshi， 代 表 比 特 币 价值 本 
身 之 外 的 东西 。 作 为 一 个 类 比 ， 考 虑 在 $ 1 钞票 上 加 上 一 个 信息 ， 说 明 " 这 是 ACME 的 股票 证 
PY RAGES FUE TVA LR A GR > RG RAG 1 票据 作为 这 个 其 他 资产 的 所 有 权证 

书 。 第 一 次 实施 染色 币 ， 名 为 增强 型 基于 订单 的 着 色 或 EPOBC， 将 外 部 资产 分 配给 1 个 满分 
和 输出。 这样， 这 是 一 个 真正 的 “染色 币 ”。 


在 EPOBC 之 后 ， 更 新 的 染色 币 实现 使 用 OP_RETURN 脚 本 来 存储 关于 外 部 资产 的 元 数据 。 从 
茶 种 意义 上 说 ， 这 些 系统 不 是 丨 正 的 染色 币 ， 因 为 没有 硬币 被 "着色 ”。 相反， 使 用 
OP_RETURN 元 数据 的 交易 用 于 创建 和 跟踪 将 元 数据 关联 到 特定 资产 的 外 部 数据 存储 的 所 有 
权 。 


今天 染色 币 的 两 个 最 突出 的 实现 是 Colu 的 Open Assets 和 Coloured Coins。 这 两 个 系统 对 染色 


币 使 用 不 同 的 方法 ， 并 且 不 兼容 。 在 一 个 系统 中 创建 的 染色 币 不 能 在 其 他 系统 中 看 到 或 使 
用 o 


1. 使 用 染色 币 


染色 币 被 创建 ， 转 移 并 通常 在 特殊 的 钱包 中 查看 ， 可 以 解释 附加 在 比特 币 交 易 上 的 染色 币 协 
议 元 数据 。 必 须 特 别 小 心 ， 避 免 在 普通 的 比特 币 钱包 中 使 用 与 染色 币 相关 的 钥 是 ， 因 为 正常 
的 钱包 可 能 会 破坏 元 数据 。 同 样 ， 不 应 将 有 颜色 的 硬币 发 送 到 由 普通 钱包 管理 的 地 址 ， 而 只 
发 送 到 由 可 识别 硬币 的 钱包 管理 的 地 址 。 Colu 和 Open Assets 系 统 都 使 用 特殊 的 染色 币 地 址 
来 解决 这 个 风险 ， 并 确保 染色 币 不 会 被 发 送 到 不 知道 的 钱包 。 


对 于 大 多 数 通用 区 块 链 浏览 器 来 说 ， 染 色 币 也 是 不 可 见 的 。 相 反 ， 您 必须 使 用 染色 币 浏览 器 
来 解释 染色 币 交 易 的 元 数据 。 


Am Open Assets 兼 容 的 钱包 应 用 程序 和 区 块 链 浏览 器 可 以 在 以 下 位 置 找到 : 


coinprism : https://www.coinprism.info 


一 个 Colu 彩 色 钱 币 兼容 的 钱包 应 用 程序 和 区 块 链 浏览 器 可 以 在 : 
区 块 链 资源 管理 器 : http://coloredcoins.org/explorer/ 


Copay 钱 包 插件 : http://coloredcoins.org/colored-coins-copay-addon/ 


2.21/32 EP 


每 个 染色 币 的 实现 都 有 不 同 的 方式 来 创建 染色 币 ， 但 是 它们 都 提供 了 类 似 的 功能 。 创 建 染色 
m 资产 的 过 程 称 为 发 行 。 初 始 交 易 ， 发 行 交易 将 资产 注册 在 比特 币 区 块 链 中 ， 并 创建 用 于 参 
考 资 产 的 资产 |D。 一 旦 发 布 ， 资 产 可 以 使 用 转移 交易 在 地 址 之 间 转 移 。 

作为 染色 币 发 行 的 资产 可 以 有 多 个 属性 。 它 们 可 以 是 可 分 割 的 或 不 可 分 割 的 ， 这 意味 着 传输 
中 资产 的 数量 可 以 是 整数 (例如 5) 或 者 具有 小 数 细 分 (例如 4.321) 。 资 产 也 可 以 有 固定 发 
行 ， 即 一 次 性 发 行 一 次 ， 也 可 以 重新 发 行 ， 即 初始 发 行 后 可 以 由 原 发 行人 发 行 新 的 资产 单 


位 。 


最 后 ， 一 些 染 色 币 能 够 发 行 股息 ， 允 许 比 特 币 的 付款 给 所 有 权 比 例 的 染色 币 资 产 的 所 有 者 。 


